Ataque de negação de serviço
Ataque de negação de serviço
Origem: Wikipédia, a enciclopédia livre Origem: Wikipédia, a enciclopédia livre
"DoS" redireciona para
"DoS" redireciona para cá. Para outros usos, vejacá. Para outros usos, veja DOS (desambiguação)DOS (desambiguação)..
DDoS Attack Stacheldraht diagrama. DDoS Attack Stacheldraht diagrama.
A
A
negação de serviço ataque (ataque DoS)negação de serviço ataque (ataque DoS)ou
ou
distribuídos de negação de serviço ataque (ataquedistribuídos de negação de serviço ataque (ataque DDoS)DDoS)
é uma tentativa de fazer um recurso de computador disponível para os seus usuários.Embora os
é uma tentativa de fazer um recurso de computador disponível para os seus usuários.Embora os
meios para realizar, por motivos e alvos de um ataque de negação de serviço pode variar, geralmente
meios para realizar, por motivos e alvos de um ataque de negação de serviço pode variar, geralmente
consiste de um esforço concertado de uma pessoa ou pessoas para evitar
consiste de um esforço concertado de uma pessoa ou pessoas para evitar
uma
uma Internet
Internet
site
site
ou
ou serviço
serviço
de forma eficiente funcionamento ou no todo, temporária ou
de forma eficiente funcionamento ou no todo, temporária ou
indefinidamente. Os autores de ataques DoS geralmente alvo sites ou serviços hospedados em alto
indefinidamente. Os autores de ataques DoS geralmente alvo sites ou serviços hospedados em alto
perfil
perfil servidores web
servidores web
, tais como bancos,
, tais como bancos, cartão de crédito
cartão de crédito
gateways de pagamento, e até
gateways de pagamento, e até
mesmo
mesmo servidores de nomes raiz
servidores de nomes raiz
. O termo é geralmente usado com relação a
. O termo é geralmente usado com relação a redes de computadores
redes de computadores
,,
mas não se limita a esse campo, por exemplo, também é usado em referência a
mas não se limita a esse campo, por exemplo, também é usado em referência aCPU
CPU
gestão de
gestão de
recursos.
recursos.
[1][1]Um método comum de ataque envolve saturando a máquina de destino com pedidos externos de
Um método comum de ataque envolve saturando a máquina de destino com pedidos externos de
comunicação,
comunicação, de tal forma
de tal forma que ele não
que ele não consegue responder ao
consegue responder ao tráfego legítim
tráfego legítimo, ou re
o, ou responde tão
sponde tão
lentamente a ser prestado efetivamente indisponível.Em termos gerais, os ataques DoS são executados
lentamente a ser prestado efetivamente indisponível.Em termos gerais, os ataques DoS são executados
por qualquer forçando o computador de destino (s) para redefinir, ou consumir seus
por qualquer forçando o computador de destino (s) para redefinir, ou consumir seusrecursos
recursos
para que ele
para que ele
não pode mais prestar o
não pode mais prestar o serviço pretendi
serviço pretendido o
do ou obstruir os meios de comuni
u obstruir os meios de comuni cação entre os usuários e
cação entre os usuários e
destina-se a vítima para que possam não comunicar adequadamente.
destina-se a vítima para que possam não comunicar adequadamente.
-De-ataques de negação de serviço são consideradas violações do
-De-ataques de negação de serviço são consideradas violações doIAB
IAB
s '
s ' utilização adequada
utilização adequada
pol
pol
ítica
ítica
de Internet
de Internet
, além de violar a
, além de violar a política de uso aceitável
política de uso aceitável
de praticamente todos os
de praticamente todos os provedores de
provedores de
internet
Conteúdo [hide] 1Sintomas e Manifestações 2Métodos de ataque o 2,1inundação ICMP o 2,2ataques Teardrop
o 2.3-to- peer ataques dos colegas
o 2,4Assimetria de utilização de recursos nos ataques de fome o 2,5Permanente-de-ataques de negação de serviço
o 2.6-inundações a nível da aplicação o 2,7Nuke
o 2,8ataque Distributed o 2,9ataque Refletida
o 2.10-de-ataques do serviço Degradação o 2,11negação de serviço não intencional o 2,12de Serviço Nível II Negação o 2,13negação de serviço Blind
3Incidentes
4Executando-ataques DoS
5Prevenção e resposta
o 5,1Firewalls o 5,2Switches o 5,3Routers
o 5,4aplicativo front-end hardware o 5,5IPS prevenção baseados
o 5,6prevenção pró-ativa através de testes o 5,7blackholing e sinkholing
o 5,8tubos Limpeza
6efeitos colaterais dos ataques DoS
o 6,1Backscatter 7Legalidade 8Veja também 9Notas e referências 10Leitura adicional 11Ligações externas
T i
ü
i
t
i
t
,
f
t
t
i
t
l
l
.
E
l
it
i
t
i
l,
t
t
/
l
,
j
,
t
i
í
i
f
t
l
l
li
.
B
t
ó
i
i
t
i
l.
[
it
]
i
ICMP
V e j a t ambém: at aque S mur f , Pi
i
undação , Pi ng da mor t e , e i nundação de SYN Um
t
jk l m mur
f
n umao ari
ant
l l m l
ífi
a l um at
aque e negação e al
agament
o naI
nt
ernet
ú
li
a. El
em e asei
a em i
spositi
o os
e rede ma
l
on
fi
gurados que permit
em que os pacot
es sej
am envi
ados parat
odos os ost
s do comput
ador em uma rede parti
cul
ar,
at
ravés doendereço de roadcas
t
da rede,
aoi
nvés de uma máqui
na específi
ca. A
rede ent
ão serve como um amplifi
cador deS
murf. N
esse at
aque,
os agressores vão envi
ar um grande nú
mero deIP
de pacot
es com o endereço de ori
gemf
al
sifi
cada para parecer ser o endereço da víti
ma.
rede de andaA
se esgot
a rapi
dament
e,
ev
it
ando que os pacot
esl
egíti
ma de obt
er at
ravés do seu desti
no.
[4]P
ara combat
er at
aques de negação de servi
ço naI
nt
ernet,
servi
ços como o amplifi
cador deS
murf S
ecret
ari
a deram prest
adores de servi
ço de rede a abili
dade dei
dentifi
car redes errada et
omar as medi
das necessári
as, t
ai
s comofilt
ragem.
i
nundaçãoPi
ng é baseada no envi
o da víti
ma um nú
mero esmagador de pi
ng pacot
es,
geral
ment
e usando o comando"
pi
ng"
de máqui
nas Uni
li
e
fl
ag-t
sobre i
ndows si
st
emast
em umaf
unção muit
o menos mali
gnos). É
muit
o si
mpl
es para ol
ançament
o,
a exi
gênci
a pri
nci
pal
sendo o acesso a uma mai
orl
argura de banda que a víti
ma.
Pi
ng da mort
e é baseada no envi
o de uma víti
ma malf
ormado pi
ng pacot
e,
que poderá conduzi
r a umaf
al
a no si
st
ema.
i
nundaçãoSYN
envi
a umai
nundação deSYN /
pacot
esT
zP,
muit
as vezes com um endereço dereme
t
ent
ef
orj
ado.
z ada um dest
es pacot
es ét
rat
ado como um pedi
do de conexão, f
azendo com que oserv
i
dor para gerar uma conexão alf
-abert
o,
remet
endo-l
e oT
zP / A
zK
-pacot
esSYN,
ea espera paraum paco
t
e em respost
a a parti
r do endereço do remet
ent
e. N
o ent
ant
o,
como o endereço do remet
ent
e éf
orj
ado,
a respost
a nunca chega. E
st
asli
gações semi
-abert
o sat
urar o nú
mero de conexões di
sponí
vei
s no servi
dor é capaz def
azer,
mant
endo-o de responder a soli
cit
açõesl
egíti
mas,
at
é depoi
s do at
aquet
ermi
na.
[
edit
ar] At
aquesTeardrop
Um a
t
aqueT
eardrop envol
ve o envi
o desconfi
guradoIP
com sobreposi
ção def
ragment
os,
det
amanho cargas para a máqui
na de desti
no.I
sso podef
al
har vári
os si
st
emas operaci
onai
s devi
do a um bug no seuT
zP / IP f
ragment
ação remont
agem có
di
go.
[5]
i
ndows3.
{ x,
i
ndows95
ei
ndowsNT
si
st
emas operaci
onai
s,
bem como versões deLi
nux ant
es de versões2.0.32
e2.
{0,63
são vul
nerávei
s a esseCerca de se
t
embro de2009,
uma vul
nerabili
dade no|i
ndowsVi
st
a era conheci
do como um"
at
aque de got
a",
mas o at
aquet
eve como al
voSMB2
que é uma camada mai
s alt
a do que os pacot
esT
CP
quel
ágri
ma usado.
[6] [7][
edit
ar]
-t
o-peerataques dos
colegas
Crackers descobr
i
ram uma manei
ra de expl
orar uma séri
e de erros no peer-t
o-peer servi
dores parai
ni
ci
ar at
aques} } oS.
~ s mai
s agressi
vos dest
es peer-t
o-peer-at
aques} } oS
expl
ora} C+ + .
-T
o-peera
t
aques dos col
egas são dif
erent
es das normai
s bot
net
baseados at
aques.
Com peer-t
o-peer não hábo
t
net
eo at
acant
e nãot
em para se comuni
car com os cli
ent
es que el
e subvert
e. E
m vez di
sso,
o at
acant
e age como um"
mest
re das mari
onet
es", i
nst
rui
ndo os cli
ent
es de grandespeer-t
o-peer de compartil
hament
o de arqui
vos hubs para desconect
ar seu-t
o-peer peer e para se conect
ar ao sit
e da víti
ma,
em vez di
sso.
Como result
ado,
mil
hares de comput
adores podem agressi
vament
et
ent
ar seconec
t
ar a um sit
e al
vo. E
nquant
o um servi
dor de webtí
pi
ca podeli
dar com al
gumas cent
enas de conexões por segundo ant
es que o desempenho começaa degradar,
a mai
ori
a dos servi
dores webf
al
har quasei
nst
ant
aneament
e com menos de ci
nco ou sei
s mil li
gações por segundo.
Com uma grandemoderadamen
t
e peer-t
o-peer de at
aque,
um sit
e poderi
a ser ati
ngi
do com at
é750.000
conexões na ordem curt
a.
~ servi
dor web ori
ent
adas seráli
gado pel
a conexões de ent
rada.
E
mbora os at
aques peer-t
o-peer sãof
ácei
s dei
dentifi
car com assi
nat
uras,
o grande nú
mero de endereçosIP
que devem ser bl
oqueados ma
i
s de250.000
vezes durant
e o decurso de um at
aque em grande escal
a) si
gnifi
ca que est
eti
po de at
aque pode sobrepuj
ar as def
esas de miti
gação. M
esmo se um di
spositi
vo de at
enuação pode mant
er o bl
oquei
o de endereçosIP,
exi
st
em out
ros probl
emas acons
i
derar. P
or exempl
o,
há um breve moment
o em que a conexão é abert
a nol
ado do servi
dor ant
es da assi
nat
ura se passa. S
oment
e depoi
s que a conexão é abert
a para o servi
dor podei
dentifi
car aass
i
nat
ura ser envi
ado e det
ect
ado ea conexão demoli
do. M
esmo derrubar conexõesl
eva os recursos do servi
dor e pode prej
udi
car o servi
dor.
E
sse mét
odo de at
aque pode ser evit
ada at
ravés da especifi
cação do prot
ocol
o peer-t
o-peer que os port
os são permiti
dos ou não. S
e a port
a80
não é permiti
do,
as possi
bili
dades de at
aque a sit
es podem ser muit
oli
mit
ado.
[
edit
ar]
Assimetr ia da utilização de recursos em ataques de f ome
Um at
aque que é sucesso na consumi
ndo recursos no comput
ador da víti
ma devem ser:
rea
li
zado por um at
acant
e com grandes recursos,
por mei
o de:
con
t
rol
ar um comput
ador com grande poder de comput
ação ou,
mai
s comument
e,
al
argura debanda
l
arga con
t
rol
ar um grande nú
mero de comput
adores e di
reci
oná-l
os para at
acar como um grupo.
Uma
t
aque aprove
it
ando uma propri
edade do si
st
ema operaci
onal
ou apli
cações no si
st
ema da víti
ma,
queperm
it
e um consumo de at
aque muit
o mai
s víti
ma de recursos do que a do at
acant
eum a
t
aque assi
mét
ri
co). S
murf
at
aque, SYN ,
e naft
a sãot
odos os at
aques assi
mét
ri
cos.
Um a
t
aque pode utili
zar uma combi
nação desses mét
odos,
afi
m de ampli
ar seu poder.
[
edit
ar]
de egação de serviço ataques Per manente
Uma permanen
t
e de negação de servi
ço P
), t
ambém conheci
do vagament
e como phl
ashi
ng,
[8] é um a
t
aque que danifi
ca um si
st
emat
ão mal
que requer a substit
ui
ção ou rei
nst
al
ação de hardware.
[9]A
o cont
rári
o do at
aque de negação de servi
ço di
st
ri
buí
da,
um at
aque expl
ora P f
al
has de segurança queperm
it
e a admi
ni
st
ração remot
a sobre asi
nt
erf
aces de gerenci
ament
o de hardware da víti
ma, t
ai
s como rot
eadores, i
mpressoras ou out
ros equi
pament
os de rede.
i
nvasor usa essas vul
nerabili
dades parasubs
tit
ui
r um di
spositi
vo defi
rmwarecom uma versão modifi
cada,
ou com def
eit
o defi
rmware dai
magem,
corrupt
o,
um processo que,
quandof
eit
ol
egiti
mament
e é conheci
da comoai scar .
E
st
e,
port
ant
o,
" tij
ol
os"
do di
spositi
vo, t
ornando-oi
nutili
zável
para suafi
nali
dade ori
gi
nal
at
é que el
e possa ser reparado ou substit
uí
do.
P
é um at
aque de hardware puro específi
cas que podem ser muit
o mai
s rápi
do e exi
ge menosrecursos do que u
tili
zando uma bot
net
em um at
aque o
S. P
or causa dessas caract
erí
sti
cas,
e os e alt
a probabili
dade pot
enci
al
def
al
has de segurança em redes habilit
adoE
mbedded ev
i
ces necess
i
dades),
est
at
écni
cat
em vi
ndo a at
enção de numerososhacker comuni
dades. P
hl
ashDance éuma
f
errament
a cri
ada porRi
chS
mit
h[ 0] um empregado de-
P
ackardH
ewl
ett S
s
t
emsS
ecurit
L
ab) usado para det
ect
ar e demonst
rar as vul
nerabili
dades DOP
em2008 E
US
ecWest A
pli
cada Conf
erênci
ade
S
egurança emL
ondres.
[ 0][
edit
ar]
-i
nundaçõesa nível da aplicação
N
oIR
C, IR
Cenchent
es são um probl
ema comum de guerra el
et
rôni
ca arma.
Do
S V
ári
os causadores def
açanhas como buff
er overfl
ow pode causar servi
dor execut
ando o soft
ware afi
car conf
uso e preencha o espaço em di
sco ou consumi
rt
oda a memó
ri
a di
sponí
vel
ouot
empo deC
P
U.
Ou
t
rosti
pos de DoS
confi
ar pri
nci
pal
ment
e naf
orça brut
a, i
nundando o al
vo com umfl
uxo enorme de pacot
es,
sat
urar sua conexão bandal
arga ou esgot
ar recursos do al
vo do si
st
ema.S
at
urando-enchent
esB
andai
nvocar o at
acant
et
er mai
orl
argura de banda di
sponí
vel
do que a víti
ma,
umaf
orma comum de al
cançar est
e obj
ecti
vo,
hoj
e,
é at
ravés de negação de servi
ço di
st
ri
buí
da,
utili
zando uma bot
net .
Out
rasi
nundações podem usarti
pos de pacot
es específi
cos ou pedi
dos deli
gação para sat
urar os recursosfi
nit
os,
por exempl
o,
o nú
mero máxi
mo de ocupação de conexões abert
as ou preencher o espaço da víti
ma di
sco coml
ogs.
Um
"
at
aque banana"
é out
roti
po de DoS. T
rat
a-se de redi
reci
onar as mensagens envi
adas a parti
r do cli
ent
e de volt
a para o cli
ent
e, i
mpedi
ndo o acesso do ext
eri
or,
bem como ai
nundar o cli
ent
e com os pacot
es envi
ados.
Um
i
nvasor com acessoà
víti
ma um comput
ador pode ret
ardá-l
a at
é que el
a sej
ai
nutili
zável
ouj
ogá-l
o usando uma bomba de garf
o.
[
edit
ar]
Nuke
Um
N
uke é um at
aque de negação de servi
ço dei
dade cont
ra redes de comput
adores consi
st
ef
ragment
ada oui
nváli
daI
CMP
pacot
es envi
ados para o desti
no,
consegui
do at
ravés de umamod
ifi
cação pi
ng utilit
ári
o para envi
ar os dados vári
as vezes corrupt
os,
di
mi
nui
ndo o comput
ador af
et
ado at
é que chegue a uma paragem compl
et
a.
Um exemp
l
o específi
co de um at
aque nucl
ear que ganhou al
gum dest
aque é o Wi
nN
uke,
que expl
orava a vul
nerabili
dade noN
etBI
OS
mani
pul
ador no Wi
ndows95 .
Uma seqü
ênci
a def
ora da banda de dadosf
oi
envi
ado paraT
CP
port
a39
de víti
ma a máqui
na, f
azendo com que el
et
rava e exi
be umat
el
a azul
damor
t
eBS
OD).
[
edit
ar]
ataque
istr i uted
Um a
t
aque di
st
ri
buí
do de negação de servi
ço DDoS
) ocorre quando múlti
pl
os si
st
emasi
nundar al
argura de banda ou recursos de um si
st
ema segment
ado,
geral
ment
e um ou mai
s servi
dores web.E
st
ess
i
st
emas são comprometi
dos por hackers,
usando uma vari
edade de mét
odos.
M
al
ware podel
evar mecani
smos de at
aque DDoS,
um dos mai
s conheci
dos exempl
os di
st
of
oi M
Doom
. S
eu mecani
smo de negação de servi
çof
oi
aci
onado em uma det
ermi
nada dat
a e hora. E
st
eti
po de DDoS
envol
vi
dos codifi
car o endereçoIP
al
vo ant
es dol
ançament
o do mal
ware e nenhumai
nt
eração adi
ci
onal f
oi
necessári
ol
ançar o at
aque.
Um s
i
st
emat
ambém pode ser comprometi
da com umt
roj
an,
permiti
ndo que o at
acant
e paraf
azer o downl
oad de um agent
e de zumbi
s ou pode cont
er umt
roj
an).
Osi
nvasorest
ambém podemi
nvadi
r si
st
emas usandof
errament
as aut
omati
zadas que expl
oramf
al
has em programas que escut
am conexões de host
s remot
os. E
st
e cenári
o pri
nci
pal
ment
e rel
aci
onada aos si
st
emas que at
uam como servi
dores nai
nt
ernet.
St
achel
draht
é um exempl
o cl
ássi
co de umaf
errament
a de DDoS. El
e utili
za uma est
rut
ura em camadas,
onde o a
t
acant
e usa um programa cli
ent
e para se conect
ar mani
pul
adores,
que são comprometi
dos os si
st
emas que emiti
r comandos para o agent
e de zumbi
s,
o quef
acilit
ari
a o at
aque DDoS.
Os agent
es são comprometi
dos vi
a os mani
pul
adores pel
o at
acant
e,
por mei
o de roti
nas aut
omati
zadas para expl
orar vul
nerabili
dades em programas que aceit
ar conexões remot
as rodando no host
s-al
vo remot
o.
Cada condut
or pode cont
rol
ar at
é mil
agent
es.
[ ]E
ssas col
eções de concili
adores si
st
emas são conheci
dos como bot
net
s. f
errament
as como o DDoS
st
achel
draht
ai
nda usam mét
odos de at
aque DoS
cl
ássi
co cent
rado emIP
spoofi
ng e ampli
ação,
como at
aques smurf
e at
aquesf
raggl
e est
est
ambém são conheci
dos como at
aques de consumo de banda). i
nundaçõesSYN t
ambém conheci
dos como at
aques de esgot
ament
o de recursos) podemt
ambém ser usados. N
ovasf
errament
as podem usar servi
dores DNS
parafi
ns de DoS.
Consult
e aa
t
aques si
mpl
es, t
ai
s comoi
nundaçõesSYN
pode aparecer com uma vast
a gama de endereçosIP
de ori
gem,
dando a aparênci
a de um DDoS
bem di
st
ri
buí
da. E
st
es at
aques dei
nundação não exi
gem a concl
usão doT
CP
handshake det
rês vi
as et
ent
ar esgot
ar o desti
noSYN fil
a ou al
argura de banda doserv
i
dor.
Como o endereçoIP
de ori
gem pode sert
ri
vi
al
ment
ef
al
sa,
um at
aque pode vi
r de um conj
unt
oli
mit
ado def
ont
es,
ou podet
er se ori
gi
nado a parti
r de umú
ni
co hospedei
ro.
mel
hori
asSt
ack como syn cooki
es podem ser de miti
gação efi
cazes cont
raSYN Fl
oodfil
a, l
argura de banda compl
et
a exaust
ão no ent
ant
o,
pode exi
gi
r o envol
vi
ment
oA
o cont
rári
o de DDoS
mecani
smoM
yDoom,
bot
net
s pode se volt
ar cont
ra qual
quer endereçoIP.
scri
pt
k
i
ddi
es usam para negar a exi
st
ênci
a de conheci
dos sit
es bem aos usuári
osl
egíti
mos.
[ 2]M
ai
s at
acant
es sofi
sti
cados utili
zamf
errament
as DDoS
parafi
ns de ext
orsão - mesmo cont
ra as empresas ri
vai
s suas.
[ 3]É i
mport
ant
e observar a dif
erença ent
re um at
aque DoS
e DDoS. S
e um at
acant
e mont
a um at
aque a parti
r de umú
ni
co hospedei
ro seri
a cl
assifi
cado como um at
aque DoS.
Def
at
o,
qual
quer at
aque cont
ra a di
sponi
bili
dade seri
a cl
assifi
cado como um at
aque de negação de servi
ço. P
or out
rol
ado,
se umi
nvasor usa um mil
si
st
emas ao mesmot
empo, l
ançar at
aques smurf
cont
ra um host
remot
o,
est
e seri
ac
l
assifi
cado como um at
aque DDoS.
A
s pri
nci
pai
s vant
agens para oi
nvasor de usar um di
st
ri
buí
dos de negação de servi
ço at
aque é que vári
as máqui
nas pode gerar mai
st
ráf
ego do at
aque de uma máqui
na,
máqui
nas de at
aque múlti
pl
o são mai
s difí
cei
s de desli
gar de uma máqui
na de at
aque,
e que o comport
ament
o de cada máqui
na de at
aque pode serf
urti
vos, t
ornando mai
s difí
cil
de rast
rear e desli
gar. E
st
as vant
agens at
acant
e causar desafi
os para os mecani
smos de def
esa. P
or exempl
o,
si
mpl
esment
e comprar mai
sl
argura de banda de ent
rada que o vol
ume at
ual
de que o at
aque pode não aj
udar,
porque o at
acant
e pode ser capaz de si
mpl
esment
e adi
ci
onar mai
s máqui
nas at
aque.
N
ot
e-se que,
em al
guns casos,
uma máqui
na pode set
ornar part
e de um at
aque DDoS,
com oconsen
ti
ment
o do propri
et
ári
o.
Um exempl
o di
sso é o20
0
de at
aque DDoS
cont
ra empresas de cart
ãode créd
it
o por apoi
ant
es do Wi
kiL
eaks. E
m casos como est
e,
os apoi
ant
es de um movi
ment
o nest
ecaso
,
aquel
es que são cont
ra a pri
são dof
undador do Wi
kiL
eaksJ
uli
anA
ssange ) escol
her paraf
azer o downl
oad e execut
ar o soft
ware DDoS.
[
edit
ar]
ref letido ataque
Um a
t
aque di
st
ri
buí
do de negação de servi
ço at
aque refl
eti
da DR
DoS
) envol
ve o envi
o def
al
sosped
i
dos de al
gumti
po para um grande nú
mero de comput
adores quei
rá responder aosped
i
dos.
Usando spoofi
ng de prot
ocol
o deI
nt
ernet ,
o endereço de ori
gem é defi
ni
do como o da víti
ma-al
vo,
o que si
gnifi
ca quet
odas as respost
as vão para e dei
nundação) do al
vo.
I
CMP E
choR
equest
at
aquesS
murf Att
ack ) pode ser consi
derado umaf
orma de at
aque refl
eti
da,
como-con
fi
guradas,
assi
m,
at
rai
ndo muit
os host
s para envi
ar pacot
es de respost
a de eco para a víti
ma. Al
guns DDoS
pri
mei
ros programasi
mpl
ement
ados def
orma di
st
ri
buí
da dest
e at
aque.
M
uit
os servi
ços podem ser expl
orados para at
uar como refl
et
ores,
al
guns mai
s difí
cil
de bl
oquear do que out
ros.
[
4]
amp
lifi
cação at
aques DNS
envol
vem um novo mecani
smo que aument
ou o ef
eit
o de amplifi
cação,
usando umali
st
a muit
o mai
or de servi
dores DNS
que vi
mos ant
eri
orment
e.
[
5]
[
edit
ar]
-de-at
aquesdo serviço
egradação
"P
ul
sação"
zombi
es são comput
adoresi
nf
ect
ados que são di
reci
onadas para ol
ançament
oi
nundaçõesi
nt
ermit
ent
es e de curt
a duração de sit
es víti
ma com ai
nt
enção de merament
e ret
ardari
sso,
em vez de bat
er. E
st
eti
po de at
aque,
conheci
do como"
degradação do servi
ço"
em vez de"
negação de servi
ço",
pode ser mai
s difí
cil
de det
ect
ar do que asi
nvasões de zumbi
regul
ar e pode at
rapal
har e difi
cult
ar ali
gação a sit
es por perí
odos prol
ongados det
empo,
pot
enci
al
ment
e causando mai
s danos do que asi
nundações concent
rado.
[
6] [
7]
E
xposi
ção dos-de-at
aques do servi
ço de degradação é ai
nda mai
s compli
cado pel
a quest
ão de di
scerni
r se os at
aques real
ment
e são at
aques ou apenas saudável
e aument
a a probabili
dade desej
ada not
ráf
ego do sit
e.
[
8]
[
edit
ar]
não
intencional negação de serviço
E
st
a descreve uma sit
uação onde um sit
e acaba não negou,
devi
do a um at
aque deli
berado por umú
ni
coi
ndi
ví
duo ou grupo dei
ndi
ví
duos,
mas si
mpl
esment
e devi
do a uma sú
bit
a enormepopu
l
ari
dade. I
sso pode acont
ecer quando um sit
e muit
o popul
ar post
s umli
nk de dest
aque em um sit
e,
segundo a menos bem preparados,
por exempl
o,
como part
e de uma notí
ci
a.
O result
ado é que uma proporção si
gnifi
cati
va de usuári
os regul
ares do sit
e pri
mári
o - pot
enci
al
ment
e cent
enas de mil
hares de pessoas - cli
que nesseli
nk no espaço de poucas horas, t
endo o mesmo ef
eit
o sobre o sit
e-al
vo com um at
aque DDoS. A VIP
DoS
é o mesmo,
mas especifi
cament
e quando oli
nkf
oi
post
ado por umace
l
ebri
dade.
Um exemp
l
o di
sso ocorreu quandoMi
chael J
ackson morreu em2009. Sit
es como oG
oogl
e eoT
witt
er abrandado,
ou mesmo dei
xado def
unci
onar.
[
9]
s
it
es servi
doresM
uit
os pensaram que os pedi
dos eramde um v
í
rus ou spywaret
ent
ando causar um at
aque deN
egação deS
ervi
ço,
al
ert
a os usuári
os que suas consult
as pareci
a"
soli
cit
ações aut
omati
zadas de um comput
ador ví
rus ou apli
cati
vo spyware".
[20]Os s
it
es de notí
ci
as e sit
es deli
nk - sit
es,
cuj
af
unção pri
nci
pal
éf
ornecerli
nks para cont
eú
dosi
nt
eressant
es em out
rosl
ugares naI
nt
ernet
- são mai
s susceptí
vei
s de causar est
ef
enômeno.
Oexemp
l
o canôni
co é o ef
eit
oSl
ashdot . Sit
es como o Di
gg,
o DrudgeR
eport , F
ark,S
omet
hi
ngA
wf
ul
eo webcomi
cP
ennyA
rcadet
êm seus pró
pri
os correspondent
es"
ef
eit
os",
conheci
do como"
ef
eit
o Di
gg",
sendo"
drudged", "f
arki
ng", "
goonrushi
ng"
e"
wangi
ng",
respecti
vament
e.
R
ot
eadorest
ambémt
êm si
do conheci
dos para cri
ar at
aques DoS
nãoi
nt
enci
onai
s,
como ambos daD-Li
nk eN
et
gear rout
ers cri
aramNTP
vandali
smo pel
asi
nundações servi
doresNTP
sem respeit
ar as rest
ri
ções deti
pos de cli
ent
e ouli
mit
ações geográfi
cas.
Si
mil
ar recusas nãoi
nt
enci
onal
de servi
çot
ambém pode ocorrer at
ravés de out
ras mí
di
as,
por exempl
o,
quando uma URL
é menci
onado nat
el
evi
são. S
e um servi
dor est
á sendoi
ndexado pel
oG
oogl
e ou out
ro mot
or de busca durant
e os perí
odos de pi
co de ati
vi
dade,
ou nãot
em muit
al
argura de banda di
sponí
vel
ao seri
ndexada, t
ambém pode experi
ment
ar os ef
eit
os de um at
aque DoS.
ação
j
urí
di
caf
oi t
omada em pel
o menos um desses casos. E
m2006,
a Uni
versal T
ube& R
ollf
ormE
qui
pment
Corporati
on processou oY
ouT
ube:
um nú
mero maci
ço de que seri
am os usuári
osyou
t
ube.
com aci
dent
al
ment
e di
git
out
ubo empresa URL,
ut
ube.
com.
Como result
ado,
a empresa det
ubos acabout
endo que gast
ar grandes quanti
as de di
nhei
ro na moderni
zação sual
argura de banda.
[2 ][
edit
ar]
Denial-of -Service Level II
O obj
eti
vo da negação deL2
poss
i
vel
ment
e DDoS
) éf
azer com que uml
ançament
o de um mecani
smo de def
esa que bl
oquei
a o segment
o de rede a parti
r do qual
o at
aque se ori
gi
nou. E
m caso de at
aque di
st
ri
buí
do ou modifi
cação de cabeçal
hoIP
que depende do
ti
po de comport
ament
o de segurança) quei
rá bl
oqueart
ot
al
ment
e a rede de at
acado deI
nt
ernet,
mas sem quebra do si
st
ema.
[
edit
ar]
Blind negação de serviço
E
m uma negação cega de at
aque de servi
ço,
o at
acant
et
em uma vant
agem si
gnifi
cati
va.
O at
acant
e deve ser capaz de receber ot
ráf
ego da víti
ma,
em segui
da,
o at
acant
e deve ou subvert
er a est
rut
ura de rot
eament
o ou usar o endereçoIP
doi
nvasor pró
pri
a.
Ou será uma oport
uni
dade para a víti
ma para acompanhar o at
acant
e e/
oufilt
rar o seut
ráf
ego.
Com um at
aque cego o at
acant
e usa um ou mai
sendereços de
IP f
al
sos,
o quet
orna ext
remament
e difí
cil
para a víti
ma parafilt
rar os pacot
es.
OT
CP
SYN
at
aque é um exempl
o de um at
aque cego.
[22][
edit
ar]
I
nc
i
den
t
es
O pr
i
mei
ro at
aque grave envol
vendo servi
dores de DNS
como refl
et
ores ocorreu emj
anei
ro de200
.
O al
vo eraR
egi
st
er.
com.
[23]
E
st
e at
aque,
quef
orj
ou os pedi
dos de regi
st
rosMX
daA
OL .
com
para amp
lifi
car o at
aque) durou cerca de uma semana ant
es que pudesse ser rast
reada parat
odos os host
s at
acar e desli
gar. É
utili
zada umali
st
a de dezenas de mil
hares de regi
st
ros de DNS
quef
oram um ano dei
dade no moment
o do at
aque.
E
mf
everei
ro de200
,
oG
overnoi
rl
andêsS
ecret
ari
a daF
azenda do servi
dorf
oi
ati
ngi
do por uma
t
aque de negação de servi
ço reali
zado como part
e de uma campanha de est
udant
e daN
UI
M
aynoot
h.
O Depart
ament
o ofi
ci
al
ment
e quei
xaramà
s aut
ori
dades da Uni
versi
dade e um nú
mero de est
udant
esf
oram puni
dos.
[carece de f ont es?]
E
mj
ul
ho de2002,
oP
roj
et
oH
oneynet R
everseChall
engef
oi
emiti
do.
[24]
O b
i
nári
o,
quef
oi
anali
sada acabou por ser ai
nda um out
ro agent
e DDoS,
quei
mpl
ement
ou o DNS
vári
os at
aques rel
aci
onados,
E
m duas ocasi
ões,
at
éà
dat
a,
os at
acant
est
êm reali
zado at
aques DDoS B
ackbone DNS
nosserv
i
dores DNS
rai
z.
Dado que est
as máqui
nas se desti
nam a prest
ar servi
ços at
odos os usuári
os daI
nt
ernet,
est
es doi
s at
aques de negação de servi
ço pode ser cl
assifi
cada comot
ent
ati
va de derrubart
oda aI
nt
ernet,
embora não est
ej
a cl
aro quai
s as moti
vações dos at
acant
esf
oramverdade
i
ras.
O pri
mei
ro ocorreu em out
ubro de2002
ei
nt
errompi
do servi
ço em9
dos 3
servi
doresra
i
z. A
segunda ocorreu emf
everei
ro de2007
e causou rupt
uras em doi
s dos servi
dores rai
z.
[25]
E
mf
everei
ro de2007,
mai
s de 0.000
servi
dores dej
ogos onli
ne emj
ogos como oR
et
urnt
oCastl
eWo
lf
enst
ei
n, H
al
o,
Count
er-St
ri
ke e muit
os out
rosf
oram at
acados pel
osR
US
grupo de hackers.
Oa
t
aque DDoS f
oi f
eit
a a parti
r de mai
s de mil
uni
dades de comput
adoresl
ocali
zados nas repú
bli
cas da anti
ga Uni
ãoS
ovi
éti
ca,
pri
nci
pal
ment
e a parti
r daRú
ssi
a,
Uzbequi
st
ão eB
el
arus. M
enor at
aques ai
nda conti
nuam a serf
eit
a hoj
e.
[carece de f ont es?]
N
as semanas que ant
ecederam a ci
nco di
as de guerra na Osséti
a doS
ul 2008 ,
um at
aque DDoS
d
i
reci
onado aos sit
es do governo daG
eó
rgi
a cont
endo a mensagem: "
ganhe+
amor+
na+ R
usi
a"
ef
eti
vament
e sobrecarregado ef
echar vári
os servi
dores georgi
anos.Sit
es segment
adosi
ncl
uí
dos no sit
e do presi
dent
e georgi
ano, Mi
khail S
aakashvili , i
noperável
por24
horas,
eoB
ancoN
aci
onal
daG
eó
rgi
a.E
mbora a suspeit
a pesadaf
oi
col
ocada sobre aRú
ssi
a de orquest
rar o at
aque at
ravés de um proxy,
oS
ai
nt
-P
et
ersburg gangue cri
mi
nosa baseada conheci
da comoR
ussi
anB
usi
nessN
et
work,
ouRBN,
o governo russo negou as acusações,
afi
rmando que era possí
vel
que osi
ndi
ví
duos naRú
ssi
a ou out
ra part
eti
nha se encarregado dei
ni
ci
ar os at
aques.
[26] Duran
t
e o2009
prot
est
os el
ei
çãoi
rani
ana,
ati
vi
st
as est
rangei
ros que quei
ram aj
udar a oposi
çãoenvo
l
vi
dos em at
aques DDoS
cont
ra o governoi
rani
ano.
O sit
e ofi
ci
al
do governoi
rani
ano
ahmed
i
nej
ad.i
r )f
oi t
ornadoi
nacessí
vel
por di
versas vezes.
[27]Os críti
cos al
egaram que a DDoS
at
aquest
ambém cort
ar acessoà I
nt
ernet
para os manif
est
ant
es dent
ro doI
rã,
ati
vi
st
as respondeu que,
enquant
o est
e podet
er si
do verdade,
a at
aques conti
nuam ai
mpedi
r o presi
dent
eM
ahmoudA
hmadi
nej
ad é o governo o sufi
ci
ent
e para aj
udar a oposi
ção.
E
m25
dej
unho de2009,
o di
a em queMi
chael J
ackson morreu,
o pi
co em pesqui
sas rel
aci
onadas aMi
chael J
ackson erat
ão grande que oG
oogl
eN
ewsi
ni
ci
al
ment
e conf
undi
u com um at
aqueau
t
omati
zado.
Como result
ado,
cerca de25
mi
nut
os,
quando al
gumas pessoas procurou oG
oogl
eN
ews que vi
u um"P
edi
mos descul
pas"
pági
na ant
es de encont
rar os arti
gos que est
avam procurando.
[28]
J
unho de2009
o sit
eP2P T
hePi
rat
eB
ayf
oi t
ornadoi
nacessí
vel
devi
do a um at
aque DDoS. E
st
af
oi
provave
l
ment
e provocado pel
at
rai
ção recent
eGl
obal G
ami
ngF
act
oryX AB ,
que era vi
st
o como um" t
omar o di
nhei
ro ef
ugi
r"
sol
ução de quest
õesj
urí
di
cas o sit
e.
[29]N
ofi
nal,
devi
do a compradores vár
i
as ondas dej
ul
ho2009
cyber at
aques al
vej
aram uma séri
e de sit
esi
mport
ant
es naCorei
a doS
ul
e osE
st
ados Uni
dos.
O at
acant
e usou bot
net
e arqui
vo de at
uali
zação at
ravés dai
nt
ernet
é conheci
do por aj
udar a sua propagação.
Como se vê,
umt
roj
an comput
adorf
oi
codifi
cado paraprocurar bo
t
s exi
st
ent
esM
yDoom. M
yDoom era um worm em2004
e,
emj
ul
ho pró
xi
mo20.000
-50.000
est
avam present
es. M
yDoomt
em um backdoor,
que o DDoS
bot
pode expl
orar.
Desde ent
ão,
o DDoS
bot
removi
do em si,
e compl
et
ament
ef
ormat
ado o di
sco rí
gi
do. A
mai
ori
a dos bot
s ori
gi
nári
a da Chi
na eCoréi
a doN
ort
e.
E
m06
de agost
o de2009
vári
os sit
es de redes soci
ai
s, i
ncl
ui
ndo oT
witt
er, F
acebook, Li
vej
ournal ,
e
G
oogl
e pági
nas de bl
ogsf
oram ati
ngi
dos por at
aques DDoS,
aparent
ement
e desti
nada aG
eó
rgi
a bl
ogger"
Cyxymu". E
mbora oG
oogl
e vei
o com apenas pequenos reveses,
esses at
aques dei
xoui
ncapacit
ada para oT
witt
er eF
acebook hora acabou por rest
aurar o servi
ço,
embora al
guns usuári
os ai
nda por difi
cul
dades. Sit
e dal
at
ênci
aT
witt
ert
em conti
nuado a mel
horar,
no ent
ant
o,
al
gumas soli
cit
ações web conti
nua af
al
har.
[30] [3 ][32]
E
mj
ul
ho e agost
o de20 0,
osi
rl
andesesCent
ral
apli
cati
vos do Offi
ce servi
dorf
oi
ati
ngi
do por uma
t
aque de negação de servi
ço em quat
ro ocasi
ões di
sti
nt
as,
causando difi
cul
dades para mil
hares de al
unos do segundo ní
vel,
que são obri
gados a usar oCA
O para soli
cit
ar el
ugares Uni
versi
dade Coll
ege.
O at
aque é act
ual
ment
e obj
ect
o de umaG
ardai
nquérit
o.
[33]
E
m28
de novembro de20 0,
soprador de apit
o sit
e wi
kil
eaks.
org experi
ment
ou um at
aqueDDo
S. I
st
of
oi
presumi
vel
ment
e rel
aci
onadas com ol
ançament
o pendent
e de muit
os mil
hares de cabos segredo di
pl
omáti
co.
[34]
E
m8
de dezembro de20 0,
um grupo que se aut
odenomi
nam" A
nonymous", l
ançada orquest
radoa
t
aques DDoS
em organi
zações como aM
ast
ercard,.
comP
ayP
al , Vi
sa.
com eP
ostFi
nance,
como part
e do"
curso de OperaçãoP
ayback"
da campanha,
que ori
gi
nal
ment
e se anti
-pi
rat
ari
aorgan
i
zações[35],
em apoi
o das denú
nci
as sit
e Wi
kil
eaks.
ch e seuf
undador, J
uli
anA
ssange.
O at
aque derrubou o sit
eM
ast
ercard, P
ostFi
nance, Vi
sa e com êxit
o. P
ostFi
nance,
o banco queti
nha congel
ado cont
aJ
uli
anA
ssange, f
oi
derrubado por mai
s de6
horas,
devi
do aos at
aques. N
oen
t
ant
o,
na negação dof
at
o de que el
ef
oi ti
rado do ar por um grupo de usuári
os dei
nt
ernet
notó
ri
o,
o banco emiti
u um comuni
cado que ai
nt
errupçãof
oi
causada por uma sobrecarga dei
nf
ormações:
"
O acessoà
www.
postfi
nance.
ch e assi
mt
ambém e-Fi
nanças est
á sobrecarregado devi
doà
grande quanti
dade dei
nquérit
os onli
ne. A
segurança dos dados do cli
ent
e não é af
et
ado."
[36][
edit
ar]
R
ea
li
zando-a
t
aques Do
S
Uma vas
t
a gama de programas são usados paral
ançar at
aques DoS
-. A
mai
ori
a dest
es programas são compl
et
ament
ef
ocado na reali
zação de DoS
-at
aques,
enquant
o out
ros sãoAl
guns exempl
os det
ai
sf
errament
as são hpi
ng,
soquet
e de programação,
e htt
pi
ng[37] mas est
es não são osú
ni
cos programas capazes det
ai
s at
aques. T
ai
sf
errament
as são desti
nados ao uso beni
gno,
mas el
est
ambém podem ser utili
zados nol
ançament
o de at
aques cont
ra as redes víti
ma. Al
ém dessasf
errament
as,
exi
st
e uma vast
a quanti
dade def
errament
as subt
errâneos usados pel
os at
acant
es.
[38][
edit
ar]
P
revenção e respos
t
a
[
edit
ar]
Firewalls
Fi
rewall
st
er regras si
mpl
es,
como para permiti
r ou negar prot
ocol
os,
port
as ou endereçosIP. Al
guns at
aques DoS
são demasi
ado compl
exas parafi
rewall
s de hoj
e,
por exempl
o,
se houver um at
aque ao port
o web servi
ce)80,
osfi
rewall
s não podemi
mpedi
r que o at
aque,
porque el
es não conseguem di
sti
ngui
r o bomt
ráf
ego det
ráf
ego de at
aque DoS. Al
ém di
sso,
osfi
rewall
s são muit
o prof
undas na hi
erarqui
a da rede.
Os rot
eadores podem ser af
et
adas ant
es mesmo dofi
rewall
recebe ot
ráf
ego. N
o ent
ant
o,
osfi
rewall
s podem efi
cazment
ei
mpedi
r que os usuári
os del
ançar at
aques doti
po si
mpl
esi
nundação de máqui
nas at
rás dofi
rewall.
Al
guns st
at
ef
ul fi
rewall
s,
como é pF
OpenBS
D,
pode agi
r como um proxy para conexões:
o apert
o de mãof
oi
vali
dado com o cli
ent
e) aoi
nvés de si
mpl
esment
e encami
nhar os pacot
es para o desti
no. El
e est
á di
sponí
vel
paraBS
Ds out
rost
ambém. N
esse cont
ext
o,
é chamado de"
synproxy".
[39][
edit
ar]
Muda
A
mai
ori
a dos swit
chest
em al
gumali
mit
ação de vel
oci
dade eA
CL
capaci
dade. Al
guns swit
chesf
ornecem aut
omáti
ca e/
ou do si
st
ema deli
mit
ação dat
axa, t
raffi
c shapi
ng,
at
raso deli
gaçãoT
CP
spli
ci
ng ), i
nspeção prof
unda de pacot
es eB
ogonfilt
ragemfilt
ragem deIP f
al
so)para de
t
ect
ar e remedi
ar at
aques de negação de servi
ço at
ravés dat
axa defilt
ragem aut
omáti
ca e WAN f
ail
overLi
nk e equilí
bri
o.
[carece de f ont es?]E
st
es regi
mes det
rabal
ho,
enquant
o os at
aques DoS
são al
go que pode ser preveni
da porusá-l
os. P
or exempl
oSYN
podem ser evit
adas com at
raso de emenda vi
ncul
ati
va ouT
CP.
Da mesmaf
orma o cont
eú
do DoS
base podem ser evit
adas comi
nspeção prof
unda de pacot
es.At
aques proveni
ent
es de endereços escuro oui
r aos endereços escuras podem ser evit
ados com a utili
zaçãoB
ogonfilt
ragem. A
ut
omáti
ca det
axa defilt
ração podet
rabal
har enquant
oti
ver defi
ni
dot
axali
mi
ares corret
ament
e e granul
ar.
-F
ail
overli
nk Wan vai t
rabal
har,
enquant
o ambos osli
nkst
êm DoS /
DDoS
mecani
smo de prevenção.
[carece de f ont es?][
edit
ar]
Routers
S
emel
hant
e ao swit
ches,
rot
eadorest
êm al
gumat
axa-li
mit
ant
e eA
CL
capaci
dade. El
est
ambémes