- Hack N` Roll
Transcrição
- Hack N` Roll
Maycon Maia Vitali [email protected] Atenção: As informações contidas neste documento foram descrito exclusivamente para fins de estudo. O autor não se responsabiliza por quaisquer utilização ilegal do material fornecido . ▪ Nivelando ▪ Aonde esta o TCP e o IP ▪ Protocolo TCP ▪ Processo de conexão (Handshake) ▪ Protocolo IP ▪ Conceito de IP Spoof ▪ Protocolo ARP ▪ Protocolo DNS ▪ Denial of Service (DoS) ▪ ▪ ▪ ▪ Ping Flood Ping of Death (PoD) Syn Flood Fragmentation Attack ▪ Distributed Denial of Service (DDoS) ▪ Distributed Reflected Denial of Service (DRDoS) ▪ Smurf Attack ▪ ARP Poisoning ▪ DNS Spoofing ▪ Conclusão Pra quem não lembra da aula de Redes 1 Porta de Origem Porta de Destino Flags URG – URGente ACK –ACKnowledgement PSH – PuSH RST – ReSeT SYN – SYNchronize FIN – FINished Checksum Flag Offset de Fragmentação Bits Don’t Fragmente e More Fragment Tempo de Vida Checksum Endereço IP de Origem Endereço IP de Destino “No contexto de redes de computadores, IP spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.” (http://pt.wikipedia.org/wiki/IP_spoofing) Tipo de Hardware: 0x0001 = Ethernet Tipo de Protocolo: 0x0800 = IP Código da Operação: 0x0001 = ARP Request / 0x0002 = ARP Response O DNS (Domain Name System - Sistema de Nomes de Domínios) é um sistema de gerenciamento de nomes hierárquico e distribuído operando segundo duas definições: Examinar e atualizar seu banco de dados. Resolver nomes de servidores em endereços de rede (IPs). RFC1034 - Domain names - concepts and facilities ftp://ftp.rfc-editor.org/in-notes/rfc1034.txt RFC1035 - Domain names - implementation and specification ftp://ftp.rfc-editor.org/in-notes/rfc1035.txt Ataque do egoísmo para desistência Um ataque de negação de serviço (Denial of Service), é uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores. Os ataques de negação de serviço são feitos geralmente de duas formas: Forçar o sistema vítima a reinicializar ou consumir todos os seus recursos (como memória ou processamento por exemplo) de forma que ele não pode mais fornecer seu serviço. Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não comunicarem-se adequadamente. Como o trabalho é sobre TCP/IP os tipos de ataques visto será apena o segundo citado. Sobrecarga do sistema através do envio de diversos pacotes ICMP echo-request (PING). Para o ataque ter sucesso o atacante deverá possúir muito mais banda que a vítima ou simplesmente poderia aplicá-lo como um DDoS. Pela definição da RFC, uma mensagem ICMP deve possuir no máximo 65535 bytes. Os sistemas não foram implementados prevendo receber mais informações do que a definida. Se enviado um pacote com mais de 65535 bytes o sistema é crashed. defina msgICMP com 65535 bytes para cada pacote_ip_fragmentado concatena msgatual em msgICMP fim Exploit (Windows 95): http://0ut0fbound.ath.cx/codes/win95ping.c Handshake Normal Syn Flood Um exemplo de exploit para Syn Flood pode ser obtido em: http://0ut0fbound.ath.cx/codes/syn.c A fragmentação é um recurso utilizado quando se necessita enviar mais informações que o meio suporta. Para não ter que ser controlado pela aplicação, a mensagem é envia em qualquer tamanho e a pilha TCP/IP se encarrega em quebrá-la em parte para serem enviadas e ao final o destino remonta a mensagem original. Processo de fragmentação normal O Ataque de Fragmentação Se quer o trabalho bem feito. Não faça você!! Os ataques de negação de serviço (DoS) possuem na sua grande maioria uma necessidade de banda de conexão maior que a vítima. Os ataques de negação de serviço distribuídos (DDoS) são como os ataques DoS porém parte de vários lugares diferentes. Estes lugares são conhecidos como zumbis. Eu não te perguntei nada!!! Os ataques de negação de serviço distribuído e refletidos se baseiam em características de serviços ou sistemas que respondem a algum tipo de solicitação. Um exemplo seria um servidor de Broadcast, onde ao receber um comando (Ex: PING) encaminha para todas as máquinas da rede interna ao qual pertence. O Smurf Attack consiste em enviar para vários servidores Broadcast mensagem falsas, indicando que o solicitante do serviço foi a vítima. Sua grande dificuldade esta em achar servidores de broadcast públicos. Cuidado com o veneno. Requisição ARP comum IP MAC TTL 192.168.254.5 00:15:F2:11:11:11 2 IP MAC TTL 192.168.254.5 00:15:F2:11:11:11 2 192.168.254.5 00:15:F2:BA:BA:CA 3 “Preciso de um comprovante de residência.” • Requisição DNS Comum Letter IP address Old name Operator Location A 198.41.0.4 ns.internic.net VeriSign Dulles, Virginia, U.S. B 192.228.79.201 ns1.isi.edu USC-ISI Marina Del Rey, California, U.S. C 192.33.4.12 c.psi.net Cogent Communications distributed using anycast D 128.8.10.90 terp.umd.edu University of Maryland College Park, Maryland, U.S. E 192.203.230.10 ns.nasa.gov NASA Mountain View, California, U.S. F 192.5.5.241 ns.isc.org ISC distributed using anycast G 192.112.36.4 ns.nic.ddn.mil Defense Information Systems Agency Columbus, Ohio, U.S. H 128.63.2.53 aos.arl.army.mil U.S. Army Research Lab Aberdeen Proving Ground, Maryland, U.S. I 192.36.148.17 nic.nordu.net Autonomica distributed using anycast J 192.58.128.30 VeriSign distributed using anycast K 193.0.14.129 RIPE NCC distributed using anycast L 199.7.83.42 ICANN distributed using anycast M 202.12.27.33 WIDE Project distributed using anycast Servidores raiz da internet sofrem ataque de negação de serviço Ataques online afetaram os serviços de pelo menos dois dos 13 servidores “raiz” que são usados para direcionar o tráfego da internet. O ataque, iniciado na manhã da terça-feira (06/02), foi o atentado mais significativo aos servidores desde um ataque de negação de serviço (DDOS, do inglês distributed denial of service) em outubro de 2002, disse Ben Petro, vice-presidente sênior do provedor de Internet Neustar. Os dois servidores mais afetados são mantidos pelo Departamento de Defesa dos Estados Unidos e pela ICANN, ele observou. Por volta das 10h30 da terça, horário dos Estados Unidos, os provedores de Internet conseguiram filtrar o tráfego da rede zumbi, o que normalizou os servidores raiz. Crain, chief technical officer (CTO) da Internet Corporation for Assigned Names and Numbers (ICANN), arrisca um palpite: “Suspeito que o maior efeito do ataque foi tirar o sono de alguns engenheiros e gerar repercussão na imprensa”, ele escreveu. http://idgnow.uol.com.br/seguranca/2007/02/07/idgnoticia.2007-02-07.0024467279/IDGNoticia_view A melhor maneira de se evitar ataques sobre o TCP/IP é procurar não ser alvo. O TCP/IP possui diversas outras falhas, já que o mesmo não foi escolhido visando segurança, mas apenas diminuir custos. São 05h05 da manhã. Acho que vou tomar café e esperar da a hora de ir pra faculdade. Maycon Maia Vitali [email protected] “Software is like sex: it's better when it's free.” (Linus Torvalds) “Duas coisas são infinitas: o universo e a estupidez humana. Mas, no que respeita ao universo, ainda não adquiri a certeza absoluta.” (Albert Einstein) “Kernel Hacking: If I really know, I can hack” (BSDaemon)