- Hack N` Roll

Maycon Maia Vitali
[email protected]
Atenção:
As informações contidas neste documento foram
descrito exclusivamente para fins de estudo. O autor
não se responsabiliza por quaisquer utilização ilegal
do material fornecido .
▪ Nivelando
▪ Aonde esta o TCP e o IP
▪ Protocolo TCP
▪ Processo de conexão (Handshake)
▪ Protocolo IP
▪ Conceito de IP Spoof
▪ Protocolo ARP
▪ Protocolo DNS
▪ Denial of Service (DoS)
▪
▪
▪
▪
Ping Flood
Ping of Death (PoD)
Syn Flood
Fragmentation Attack
▪ Distributed Denial of Service (DDoS)
▪ Distributed Reflected Denial of Service (DRDoS)
▪ Smurf Attack
▪ ARP Poisoning
▪ DNS Spoofing
▪ Conclusão
Pra quem não lembra da aula de Redes 1
Porta de Origem
Porta de Destino
Flags
URG – URGente
ACK –ACKnowledgement
PSH – PuSH
RST – ReSeT
SYN – SYNchronize
FIN – FINished
Checksum
Flag
Offset de Fragmentação
Bits Don’t Fragmente e More Fragment
Tempo de Vida
Checksum
Endereço IP de Origem
Endereço IP de Destino
“No contexto de redes de computadores, IP spoofing é uma técnica de subversão de
sistemas informáticos que consiste em mascarar (spoof) pacotes IP utilizando endereços de
remetentes falsificados.” (http://pt.wikipedia.org/wiki/IP_spoofing)
Tipo de Hardware: 0x0001 = Ethernet
Tipo de Protocolo: 0x0800 = IP
Código da Operação: 0x0001 = ARP Request / 0x0002 = ARP Response
O DNS (Domain Name System - Sistema de Nomes de Domínios) é um
sistema de gerenciamento de nomes hierárquico e distribuído operando
segundo duas definições:
Examinar e atualizar seu banco de dados.
Resolver nomes de servidores em endereços de rede (IPs).
RFC1034 - Domain names - concepts and facilities
ftp://ftp.rfc-editor.org/in-notes/rfc1034.txt
RFC1035 - Domain names - implementation and specification
ftp://ftp.rfc-editor.org/in-notes/rfc1035.txt
Ataque do egoísmo para desistência
Um ataque de negação de serviço (Denial of Service), é uma tentativa
em tornar os recursos de um sistema indisponíveis para seus utilizadores.
Os ataques de negação de serviço são feitos geralmente de duas formas:
Forçar o sistema vítima a reinicializar ou consumir todos os seus recursos
(como memória ou processamento por exemplo) de forma que ele não
pode mais fornecer seu serviço.
Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima
de forma a não comunicarem-se adequadamente.
Como o trabalho é sobre TCP/IP os tipos de ataques visto será apena
o segundo citado.
Sobrecarga do sistema através do envio de
diversos pacotes ICMP echo-request (PING).
Para o ataque ter sucesso o atacante deverá
possúir muito mais banda que a vítima ou
simplesmente poderia aplicá-lo como um
DDoS.
Pela definição da RFC, uma mensagem ICMP deve
possuir no máximo 65535 bytes.
Os sistemas não foram implementados prevendo
receber mais informações do que a definida.
Se enviado um pacote com mais de 65535 bytes o
sistema é crashed.
defina msgICMP com 65535 bytes
para cada pacote_ip_fragmentado
concatena msgatual em msgICMP
fim
Exploit (Windows 95):
http://0ut0fbound.ath.cx/codes/win95ping.c
Handshake Normal
Syn Flood
Um exemplo de exploit para Syn Flood pode
ser obtido em:
http://0ut0fbound.ath.cx/codes/syn.c
A fragmentação é um recurso utilizado quando se
necessita enviar mais informações que o meio
suporta.
Para não ter que ser controlado pela aplicação, a
mensagem é envia em qualquer tamanho e a pilha
TCP/IP se encarrega em quebrá-la em parte para
serem enviadas e ao final o destino remonta a
mensagem original.
Processo de fragmentação normal
O Ataque de Fragmentação
Se quer o trabalho bem feito. Não faça você!!
Os ataques de negação de serviço (DoS) possuem
na sua grande maioria uma necessidade de banda
de conexão maior que a vítima.
Os ataques de negação de serviço distribuídos
(DDoS) são como os ataques DoS porém parte de
vários lugares diferentes.
Estes lugares são conhecidos como zumbis.
Eu não te perguntei nada!!!
Os ataques de negação de serviço distribuído
e refletidos se baseiam em características de
serviços ou sistemas que respondem a algum
tipo de solicitação.
Um exemplo seria um servidor de Broadcast,
onde ao receber um comando (Ex: PING)
encaminha para todas as máquinas da rede
interna ao qual pertence.
O Smurf Attack consiste em enviar para
vários servidores Broadcast mensagem
falsas, indicando que o solicitante do serviço
foi a vítima.
Sua grande dificuldade esta em achar
servidores de broadcast públicos.
Cuidado com o veneno.
Requisição ARP comum
IP
MAC
TTL
192.168.254.5
00:15:F2:11:11:11
2
IP
MAC
TTL
192.168.254.5
00:15:F2:11:11:11
2
192.168.254.5
00:15:F2:BA:BA:CA
3
“Preciso de um comprovante de residência.”
•
Requisição DNS Comum
Letter IP address
Old name
Operator
Location
A
198.41.0.4
ns.internic.net
VeriSign
Dulles, Virginia, U.S.
B
192.228.79.201
ns1.isi.edu
USC-ISI
Marina Del Rey, California, U.S.
C
192.33.4.12
c.psi.net
Cogent Communications
distributed using anycast
D
128.8.10.90
terp.umd.edu
University of Maryland
College Park, Maryland, U.S.
E
192.203.230.10
ns.nasa.gov
NASA
Mountain View, California, U.S.
F
192.5.5.241
ns.isc.org
ISC
distributed using anycast
G
192.112.36.4
ns.nic.ddn.mil
Defense Information Systems Agency
Columbus, Ohio, U.S.
H
128.63.2.53
aos.arl.army.mil U.S. Army Research Lab
Aberdeen Proving Ground, Maryland, U.S.
I
192.36.148.17
nic.nordu.net
Autonomica
distributed using anycast
J
192.58.128.30
VeriSign
distributed using anycast
K
193.0.14.129
RIPE NCC
distributed using anycast
L
199.7.83.42
ICANN
distributed using anycast
M
202.12.27.33
WIDE Project
distributed using anycast
Servidores raiz da internet sofrem
ataque de negação de serviço
Ataques online afetaram os serviços de pelo menos dois dos 13 servidores “raiz” que são usados para
direcionar o tráfego da internet.
O ataque, iniciado na manhã da terça-feira (06/02), foi o atentado mais significativo aos servidores
desde um ataque de negação de serviço (DDOS, do inglês distributed denial of service) em outubro de
2002, disse Ben Petro, vice-presidente sênior do provedor de Internet Neustar.
Os dois servidores mais afetados são mantidos pelo Departamento de Defesa dos Estados Unidos e
pela ICANN, ele observou. Por volta das 10h30 da terça, horário dos Estados Unidos, os provedores de
Internet conseguiram filtrar o tráfego da rede zumbi, o que normalizou os servidores raiz.
Crain, chief technical officer (CTO) da Internet Corporation for Assigned Names and Numbers
(ICANN), arrisca um palpite: “Suspeito que o maior efeito do ataque foi tirar o sono de alguns
engenheiros e gerar repercussão na imprensa”, ele escreveu.
http://idgnow.uol.com.br/seguranca/2007/02/07/idgnoticia.2007-02-07.0024467279/IDGNoticia_view
A melhor maneira de se evitar ataques sobre
o TCP/IP é procurar não ser alvo.
O TCP/IP possui diversas outras falhas, já que
o mesmo não foi escolhido visando
segurança, mas apenas diminuir custos.
São 05h05 da manhã. Acho que vou tomar
café e esperar da a hora de ir pra faculdade.
Maycon Maia Vitali
[email protected]
“Software is like sex: it's better when it's free.”
(Linus Torvalds)
“Duas coisas são infinitas: o universo e a estupidez humana. Mas, no que respeita ao
universo, ainda não adquiri a certeza absoluta.”
(Albert Einstein)
“Kernel Hacking: If I really know, I can hack”
(BSDaemon)