Distributed Denial of
Service (DDoS)
por Thiago G. Escobar
Sumário
● Histórico
● Botnets
● DDoS
● Prevenção contra DDoS
● Extras
Quem sou?
Graduando em Ciência da Computação pelo DCC/UFRJ.
Membro do GRIS/UFRJ desde 2011 e atual colaborador do grupo.
E...
Histórico
Servidores não suportam acesso pesado
Histórico - Denial of Service
Usuários maliciosos, sabendo dessa limitação,
juntamente com falhas de implementação de
prot...
ICMP Flood - Ping of Death
Histórico - DoS
As falhas mais críticas são corrigidas e a infra
estrutura dos servidores em geral é melhorada,
tornando o...
Botnets - O que são?
Bot <= roBOT
Net <= NETwork
Ou seja, são computadores que funcionam
como robôs e que são controlados ...
Botnets - Importância
"Botnets atualmente são uma das maiores
ameaças relacionados a computadores
conectados à Internet" [...
Botnet - histórico
Inicialmente, as botnets surgiram como uma
forma de controlar mais facilmente diversos
robôs de IRC.
Es...
Botnets - histórico
Usuários maliciosos viram potencial nessa
tecnologia para controle de máquinas
infectadas com malware ...
Botnets - componentes
Botmaster - usuário capaz de controlar a botnet
utilizando o servidor C&C.
Bot - computador que part...
Botnets - componentes
DDoS - O que é?
“Distributed Denial of Service (DDoS) utiliza muitos computadores para criar
um ataque DoS, contra um ou m...
DDoS - Importância
Como pode ser visto em [6], [7], [8] e [9], este
tipo de ataque é de extrema importância, muito
realiza...
DDoS - Importância
Hoje existem ferramentas automatizadas que usam botnets
já existentes para realizar ataques -> facilida...
DDoS - Motivação
● Hacktivismo
● Demonstração de Força
● Zueira
● Mimimi
DDoS - Classificação
Os ataques podem ser classificados como :
● DDoS de camada de Aplicação
● DDoS baseado em protocolo
●...
DDoS - Como são realizados?
Inicialmente, o ataque consistia dos seguintes
passos:
● O botmaster envia comandos através do...
DDoS - Como são realizados?
● O servidor recebe o tráfego excessivo e, por
falta de recursos começa a apresentar
lentidão ...
DDoS - Como são realizados?
Atualmente, algumas variantes do ataque são
conhecidas, como:
● Uso direto de um dos bots como...
DDoS - Como são realizados?
● Ataques voluntários, normalmente ligados à
hacktivismo, usando ferramentas como o
LOIC* e o ...
DDoS - Ferramentas
Dentre as ferramentas mais famosas estão[11]:
● LOIC
● HULK (HTTP Unbearable Load King)
● DDOSIM—Layer ...
Ferramentas - LOIC
Ferramentas - HULK
Ferramentas - DDOSIM
● Ferramentas - IP Stresser
Ferramentas - OWASP HTTP POST Tool
Ferramentas - T50
Ferramentas - T50
Ferramentas - GoldenEye
DDoS - Problemas com Prevenção
Antes de pensarmos numa solução relacionada
a segurança, precisamos pensar no impacto
gerad...
O que um site pode fazer para se proteger de um ataque DDoS?
“Para proteger seu website, você precisa ser capaz de bloquea...
O que provedores e grandes organizações podem fazer para proteger suas
redes?
“Muitos produtos e serviços existem para pro...
A idéia principal quando lidamos com a prevenção / mitigação de um ataque
DDoS é, após detectado que o mesmo está ocorrend...
DDoS - Prevenção
Proteção nos Bots.
Combate à criação de Botnets.
Takedown em Botnets conhecidas.
Extra - Bruteforce 2.0 (Distribuído)
Consiste num ataque distribuído, utilizando
uma botnet, com a finalidade de descobrir...
Extra - DDoS Live
http://www.digitalattackmap.com/
Bibliografia
[1] Análise de botnet utilizando plataforma de simulação com máquinas virtuais
visando detecção e contenção -...
Bibliografia
[4] Negação de Serviço: Implementação, Defesas e Repercuções - http://www.
linuxsecurity.com.br/info/dos/DoS....
Bibliografia
[7] Metade das empresas sob ataque DDoS têm dados críticos roubados - http:
//www.seginfo.com.br/metade-das-e...
Bibliografia
[10] Amplification Hell: Revisiting Network Protocols for DDoS Abuse - http://www.
internetsociety.org/sites/...
Próximos SlideShares
Carregando em…5
×

Apresentação sobre DDoS - Semana da Computação - Thiago Escobar

319 visualizações

Publicada em

Apresentação com o tema Distributed Denial of Service (DDoS) que foi apresentada por Thiago Escobar durante a 1ª Semana De Computação da UFRJ.

Publicada em: Internet
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
319
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
22
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Apresentação sobre DDoS - Semana da Computação - Thiago Escobar

  1. 1. Distributed Denial of Service (DDoS) por Thiago G. Escobar
  2. 2. Sumário ● Histórico ● Botnets ● DDoS ● Prevenção contra DDoS ● Extras
  3. 3. Quem sou? Graduando em Ciência da Computação pelo DCC/UFRJ. Membro do GRIS/UFRJ desde 2011 e atual colaborador do grupo. Entusiasta de Segurança da Informação.
  4. 4. Histórico Servidores não suportam acesso pesado
  5. 5. Histórico - Denial of Service Usuários maliciosos, sabendo dessa limitação, juntamente com falhas de implementação de protocolos, realizam ataques de negação de serviço.
  6. 6. ICMP Flood - Ping of Death
  7. 7. Histórico - DoS As falhas mais críticas são corrigidas e a infra estrutura dos servidores em geral é melhorada, tornando os ataques mais difíceis de serem realizados.
  8. 8. Botnets - O que são? Bot <= roBOT Net <= NETwork Ou seja, são computadores que funcionam como robôs e que são controlados através da rede. Também são conhecidas como redes de computadores zumbis.
  9. 9. Botnets - Importância "Botnets atualmente são uma das maiores ameaças relacionados a computadores conectados à Internet" [1] Estima se que aproximadamente um quarto dos computadores ligados à Internet fazem parte de uma botnet. [1]
  10. 10. Botnet - histórico Inicialmente, as botnets surgiram como uma forma de controlar mais facilmente diversos robôs de IRC. Esses robôs têm como finalidade principal controlar o acesso a canais de IRC.
  11. 11. Botnets - histórico Usuários maliciosos viram potencial nessa tecnologia para controle de máquinas infectadas com malware para executar ataques distribuídos.
  12. 12. Botnets - componentes Botmaster - usuário capaz de controlar a botnet utilizando o servidor C&C. Bot - computador que participa da botnet. Também conhecido como zumbi. C&C - command and control server. Servidor controlado pelo botmaster para enviar comandos aos bots
  13. 13. Botnets - componentes
  14. 14. DDoS - O que é? “Distributed Denial of Service (DDoS) utiliza muitos computadores para criar um ataque DoS, contra um ou mais alvos.”[3] “A Negação de serviço distribuído (DDoS) se utiliza do conceito de computação distribuída para efetuar os ataques.”[4] “Estes ataques são caracterizados pelo envio indiscriminado de pacotes e requisições a um determinado alvo, visando degradar a qualidade ou tornar complemente indisponíveis os serviços oferecidos pela vítima.” [5]
  15. 15. DDoS - Importância Como pode ser visto em [6], [7], [8] e [9], este tipo de ataque é de extrema importância, muito realizado atualmente e capaz de causar danos elevados. *[6] CERT.br registra aumento de ataques de negação de serviço em 2014 *[7] Metade das empresas sob ataque DDoS têm dados críticos roubados *[8] Centro de dados atingido por DDoS de 334Gbps *[9]One in five DDoS attacks last for days or even weeks
  16. 16. DDoS - Importância Hoje existem ferramentas automatizadas que usam botnets já existentes para realizar ataques -> facilidade para executar ataques.[12] Segundo a TrendMicro, com 150 dólares você pode comprar um DDoS de uma semana.[12] Mais de 2000 ataques DDoS acontecem DIARIAMENTE. [12] Um terço dos incidentes que causam downtime nos servidores são DDoS. [12]
  17. 17. DDoS - Motivação ● Hacktivismo ● Demonstração de Força ● Zueira ● Mimimi
  18. 18. DDoS - Classificação Os ataques podem ser classificados como : ● DDoS de camada de Aplicação ● DDoS baseado em protocolo ● DDoS baseado em volume
  19. 19. DDoS - Como são realizados? Inicialmente, o ataque consistia dos seguintes passos: ● O botmaster envia comandos através do servidor de C&C com a finalidade de gerar tráfego no servidor alvo. ● Os bots executam esses comandos, normalmente sem saber disso.
  20. 20. DDoS - Como são realizados? ● O servidor recebe o tráfego excessivo e, por falta de recursos começa a apresentar lentidão e, potencialmente, falhas. ● O servidor para de responder, ou não é capaz de responder rapidamente, às requisições não-maliciosas.
  21. 21. DDoS - Como são realizados? Atualmente, algumas variantes do ataque são conhecidas, como: ● Uso direto de um dos bots como botmaster falso ● Geração de tráfego falso - conhecido como Distributed Reflexive Denial of Service[10]
  22. 22. DDoS - Como são realizados? ● Ataques voluntários, normalmente ligados à hacktivismo, usando ferramentas como o LOIC* e o HOIC** *http://sourceforge.net/projects/loic/ **http://sourceforge.net/projects/highorbitioncannon/
  23. 23. DDoS - Ferramentas Dentre as ferramentas mais famosas estão[11]: ● LOIC ● HULK (HTTP Unbearable Load King) ● DDOSIM—Layer 7 DDOS Simulator ● IP Stresser ● OWASP HTTP POST Tool ● T50 ● GoldenEye
  24. 24. Ferramentas - LOIC
  25. 25. Ferramentas - HULK
  26. 26. Ferramentas - DDOSIM
  27. 27. ● Ferramentas - IP Stresser
  28. 28. Ferramentas - OWASP HTTP POST Tool
  29. 29. Ferramentas - T50
  30. 30. Ferramentas - T50
  31. 31. Ferramentas - GoldenEye
  32. 32. DDoS - Problemas com Prevenção Antes de pensarmos numa solução relacionada a segurança, precisamos pensar no impacto gerado pela solução em si. Muitas vezes, o impacto gerado por uma solução ruim pode ser igual ou até maior do que o impacto do ataque em si
  33. 33. O que um site pode fazer para se proteger de um ataque DDoS? “Para proteger seu website, você precisa ser capaz de bloquear ou absorver tráfego malicioso. Webmasters podem conversar com seu Host sobre proteção contra DDoS. Eles também podem usar um serviço de terceiros para rotear seu tráfego, afim de filtrar tráfego malicioso, reduzindo assim o impacto nos servidores web existentes. A maioria desses serviços requer uma assinatura paga, mas geralmente isso custa menos do que aumentar a capacidade do servidor para lidar com um ataque DDoS.”[12] “Além disso, o Google Ideas lançou uma nova iniciativa, chamada Project Shield, afim de utilizar a infra estrutura do Google para apoiar a livre expressão online, ajudando sites independentes a mitigar o tráfego de um ataque DDoS” [12] DDoS - Prevenção
  34. 34. O que provedores e grandes organizações podem fazer para proteger suas redes? “Muitos produtos e serviços existem para proteger grandes redes de ataques DDoS e previnir que os recursos de rede sejam utilizados para amplificar ataques.”[12] Exemplos de serviços: Arbor Networks - http://www.arbornetworks.com/ddos-attacks Snort - https://www.snort.org/ Radware - http://www.radware.com/Products/DefensePro/ DDoS - Prevenção
  35. 35. A idéia principal quando lidamos com a prevenção / mitigação de um ataque DDoS é, após detectado que o mesmo está ocorrendo, agir para bloquear o tráfego malicioso. No caso de um ataque onde o tráfego malicioso não pode ser detectado eficientemente ou simplesmente não existe, a aplicação e o servidor devem ser escaláveis, afim de que não se tornarem um gargalo. Uma análise do comportamento (behaviour analysis) pode ser utilizada também para detectar acessos anômalos no servidor e então bloqueá-lo. Há hoje em dia uma discussão na área de segurança quanto à eficiência do uso de Firewalls / Intrusion Prevention Systems (IPS) na mitigação de ataques DDoS, visto que muitas vezes eles acabam se tornando um gargalo.[13] DDoS - Prevenção
  36. 36. DDoS - Prevenção Proteção nos Bots. Combate à criação de Botnets. Takedown em Botnets conhecidas.
  37. 37. Extra - Bruteforce 2.0 (Distribuído) Consiste num ataque distribuído, utilizando uma botnet, com a finalidade de descobrir senhas através de força bruta. Cada bot recebe do C&C(responsável por coordenar o ataque) um número de potenciais senhas a serem testadas e reporta ao C&C em caso de sucesso.
  38. 38. Extra - DDoS Live http://www.digitalattackmap.com/
  39. 39. Bibliografia [1] Análise de botnet utilizando plataforma de simulação com máquinas virtuais visando detecção e contenção - http://www.teses.usp. br/teses/disponiveis/3/3142/tde-01032011-130343/en.php [2] Bots & Botnet: An Overview - http://www.sans.org/reading- room/whitepapers/malicious/bots-botnet-overview-1299 [3] Distributed Denial of Service: um estudo para plataformas Linux e Windows - https://repositorio.ufsc.br/handle/123456789/79859
  40. 40. Bibliografia [4] Negação de Serviço: Implementação, Defesas e Repercuções - http://www. linuxsecurity.com.br/info/dos/DoS.doc [5] Avaliação de Proteção contra Ataques de Negação de Serviço Distribuídos (DDoS) utilizando Lista de IPs Confiáveis - http://www.lbd.dcc.ufmg. br/colecoes/sbseg/2007/008.pdf [6] CERT.br registra aumento de ataques de negação de serviço em 2014 - http://www.blog.clavis.com.br/cert-br-registra-aumento-de-ataques-de- negacao-de-servico-em-2014/
  41. 41. Bibliografia [7] Metade das empresas sob ataque DDoS têm dados críticos roubados - http: //www.seginfo.com.br/metade-das-empresas-sob-ataque-ddos-tem-dados- criticos-roubados/ [8] Centro de dados atingido por DDoS de 334Gbps - http://www. computerworld.com.pt/2015/04/29/centro-de-dados-atingido-por-ddos-de- 334gbps/ [9]One in five DDoS attacks last for days or even weeks - http://timesofindia. indiatimes.com/tech/tech-news/One-in-five-DDoS-attacks-last-for-days-or-even- weeks/articleshow/47140654.cms
  42. 42. Bibliografia [10] Amplification Hell: Revisiting Network Protocols for DDoS Abuse - http://www. internetsociety.org/sites/default/files/01_5.pdf [11] DOS Attacks and Free DOS Attacking Tools - http://resources.infosecinstitute. com/dos-attacks-free-dos-attacking-tools/ [12] Digital Attack Map- http://www.digitalattackmap.com/ [13]Can your firewall and IPS block DDoS attacks? - http://blog.radware. com/security/2013/05/can-firewall-and-ips-block-ddos-attacks/

×