Este documento discute ataques de negação de serviço distribuídos (DDoS), definindo-os e descrevendo suas variantes, como ICMP, UDP e TCP flooding. Também aborda ferramentas e ataques realizados por grupos hacktivistas entre 2008-2012, focando em ataques DDoS HTTP e possíveis soluções de detecção e prevenção em sistemas Linux. Por fim, propõe um modelo para identificar e tratar especificamente ataques DDoS GET HTTP.

1. Faculdade Estácio
Unidade João Pessoa
Identificação e Tratamento de Ataques de
Negação de Serviço Distribuído (DDoS)
Leandro Almeida
lcavalcanti.almeida@gmail.com

2. DDoS

3. Definições...
“...são ataques caracterizados pela tentativa explícita de negar um
serviço a um usuário legítimo...” [Beitollahi and Deconinck, 2012]
“...são ataques coordenados sobre a disponibilidade de um ou
vários sistemas alvo através de muitas vítimas secundárias...”
[ Kumar and Selvakumar, 2013]

4. Em 2013, o termo DDoS obteve
número 100 no Google Trends
O país com maior interesse é a Rússia

5. O termo “how to DDoS” também
obteve número 100.
O país com maior interesse é a Suécia

6. O termo “DDoS HTTP” vem numa crescente deste 2008

7. DDoS
variantes

8. Flooding
Afetam a
infraestrutura de
hardware do alvo
ICMP flooding
UDP flooding
TCP flooding

9. TCP SYN Flooding
SYN
SYN-ACK
O pacote ACK para completar o 3-way handshake
nunca chegará

10. TCP SYN Flooding
SYN
SYN-ACK
...
SYN
SYN-ACK
SYN
SYN-ACK
SYN-ACK
SYN

11. TCP SYN Flooding
SYN
SYN-ACK
...
SYN
SYN-ACK
SYN
SYN-ACK
SYN-ACK
SYN

12. Os ataques de 1996 e 2000 utilizavam
técnicas de ICMP, UDP e TCP SYN Flooding
e tinham ferramentas como:
-TFN (Tribe Flood Network)
-TRIN00
- STACHELDRAHT
-TFN2K

13. DRDoS – Distributed Reflected Denial of Service
ICMP Echo
Request
...
ICMP Echo
Request
ICMP Echo
Request
ICMP Echo
Request
Atacante falsifica seu IP, usando o IP do Alvo
ICMP Echo
Reply
ICMP Echo
Reply
ICMP Echo
Reply
ICMP Echo
Reply

14. Smurf
Ataque

15. Anonymous

16. 2009 - Iran

17. 2010 - Paypal,Amazon, Mastercard
e Visa

18. 2011 - Sony

19. 2012 - FBI

20. LulzSec

21. 2011 – Sites do Gov. Brasileiro,
FBI e Senado Americano

22. Em ambos os grupos, um dos
ataques mais utilizados
foi o DDoS HTTP

23. DDoS HTTP

24. DDoS HTTP GET
SYN
SYN-ACK
ACK
GET /index.php
ACK
Pragma: 1010
...
Erro 408 – Request
Timeout

25. DDoS HTTP GET
Estatísticas - CPU

26. DDoS HTTP GET
Estatísticas - CPU

27. DDoS HTTP GET
Estatísticas - Memória

28. DDoS HTTP GET
Estatísticas - Conexões

29. DDoS HTTP POST
SYN
SYN-ACK
ACK
POST / inserir.html
ACK
Continuação do POST
...
Erro 400 – Bad
Request

30. Nestes ataques as ferramentas
utilizadas são:
- HTTP DoS Tool
- Slowloris
- LOIC

31. Não existe uma única solução
para todos tipos de ataque DDoS

32. Possíveis
Soluções

33. Em sistems baseados em Linux:
- Módulo limit do iptables
- Módulo SYN Cookies do kernel
- Módulo rp_filter do kernel

34. Para detectar os ataques, trabalhos
científicos utilizam informações como:
-Tamanho do pacote
- Intervalo de tempo entre pacotes
- Comportamento do navegador Web
- Payload do pacote
- Flags TCP
- Erros SYN
- Números de sequência TCP
- Endereços IP
-...
- Lógica Fuzzy
-Algoritmos Genéticos
- Modelo de Markov
- Machine Learning
- Redes Neurais

35. Modelo Proposto
Identificar e Tratar Ataques
DDoS GET HTTP

36. Estudamos o ataque repetindo-o diversas vezes
até ser possível identificá-lo com o mínimo de
características possíveis
-Tamanho do pacote
-Tempo entre chegadas
- Campo Pragma do HTTP
- Endereço IP de origem
- Porta de destino

38. Experimento

39. Experimento - Resultados

40. Dúvidas?
Leandro Almeida
lcavalcanti.almeida@gmail.com