Existem vários tipos de ataques nesta modalidade, eu vou tentar resumir muito aqui toda essa abordagem a estas técnicas e para que você conheça rapidamente as características de cada um.
E estes tipos de ataques podem ser aplicados a qualquer versão do Windows, claro que isso também irá depender da força do ataque podendo se precisar de uma botnet (rede de computadores controlada por você) em algunsh casos.
Agora imdependente do tipo de ataque utilizado poderemos chamar a maioria destes tipos de ataques como DoS (Denial of Service). O DoS é um ataque que se baseia na recusa de serviço. Uma rede com conexão Web, ou rede interna (no caso dos sabotadores) com uma conexão muito boa envia um grande número de pacotes, quanto mais pacotes e mais fragmentados, lógicamente melhor ai então uma máquina alvo que não consiga interpretar o grande número de pacotes recebidos será a causa da recusa de serviço, derrubando os serviços nela hospedados, e é muito importante salientar as expressões "grande número" e "pacotes fragmentados". Ataques deste tipo, lançados por longos períodos de tempo e de forma sistemática são capazes até mesmo de derrubar firewalls bem configurados que, simplesmente, cumpram sua função - negar conexões não autorizadas - até que o sistema entre em pane. Vamos iniciar o artigo agora.
Agora imdependente do tipo de ataque utilizado poderemos chamar a maioria destes tipos de ataques como DoS (Denial of Service). O DoS é um ataque que se baseia na recusa de serviço. Uma rede com conexão Web, ou rede interna (no caso dos sabotadores) com uma conexão muito boa envia um grande número de pacotes, quanto mais pacotes e mais fragmentados, lógicamente melhor ai então uma máquina alvo que não consiga interpretar o grande número de pacotes recebidos será a causa da recusa de serviço, derrubando os serviços nela hospedados, e é muito importante salientar as expressões "grande número" e "pacotes fragmentados". Ataques deste tipo, lançados por longos períodos de tempo e de forma sistemática são capazes até mesmo de derrubar firewalls bem configurados que, simplesmente, cumpram sua função - negar conexões não autorizadas - até que o sistema entre em pane. Vamos iniciar o artigo agora.
UDP Flood
Um ataque de inundação UDP (UDP flood) é um ataque de negação de serviço (ou DoS) utilizando o protocolo UDP para causar a perda de conexão do computador. Lembra-se de quando seu servidor ou estação de trabalho sai da rede?. Pode ser uma inundação UDP.Pacotes UDP (User Datagram Protocol) não são orientados a conexão, ou seja, não há uma relação durável entre os pacotes enviados a porta de uma máquina remota. O UDP precisa apenas saber que existe uma porta, interface e host (máquina) para receber o pacote enviado da sua interface-fonte, e apenas isso já o satisfaz. Por isso que UDP não é um protocolo seguro e se você quiser cuidar da segurança de sua rede adicionar regras rígidas ao seu firewall em relação a este protocolo, ou o desative. Interfaces que recebem pacotes UDP também não necessitam criar uma relação durável com o emissor, seguindo a política deste. Na verdade, eles podem inclusive receber conexões de mais de uma fonte de pacotes UDP, utilizando o mesmo socket, recebendo pacotes e novos destinatários de forma indefinida. Um prato cheio para um ataque hacker.
Um ataque desse tipo costuma ser iniciado através do envio de um grande número de pacotes UDP para as portas aleatórias em uma máquina remota. Uma implementação simples e manual dessa técnica pode ser realizada com a ajuda do hping, uma poderosa ferramenta em linha de comando que ultrapassa em muito as funcionalidades do tradicional ping do Windows (e do Linux também). O hping pode ser obtido em sua versão Linux no endereço http://www.hping.org, para versão Windows não custa fuçar no site ou no Google certo? Mas será necessária a compilação. Existe também uma suite de programas chamada Net Tools, lá no menu Network Tools você terá o UDP flooder o download pode ser feito no site oficial em http://mabsoft.com (em Data, já no UDP flooder do Net Tools, use o formato de dado %3DLVI%26its%3DI%26otn%3D1, isto proporcionará um ataque razoavelmente potente).
HTTP ou SYN Flood
Um HTTP flood nada mais é que um SYN flood com destino certo para a porta 80 (porta da Internet) de uma máquina, servidor ou roteador. Os pacotes SYN são pacotes de sincronismo, responsáveis por dar o primeiro passo para iniciar qualquer conexão numa rede TCP/IP.
Nessa modalidade, um cliente requisita uma conexão enviando um SYN (synchroniza) ao servidor. O servidor, por sua vez, confirma esta requisição mandando um SYN-ACK (acknowledge) de volta ao cliente. O cliente, por sua vez, terminando o processo que costuma ser chamado de Three-Way Handshake (Aperto de mão em três etapas), avisa que a conexão está por fim estabelecida, por meio de um pacote ACK.
Um ataque SYN ou HTTP flood ocorre de uma forma muito simples: o pacote ACK jamais é enviado, o que faz com que o servidor espere por ele. Ao mesmo tempo, outras dezenas ou centenas de requisições são enviadas nos mesmos moldes e com o mesmo defeito. Foi um ataque semelhante a esse que derrubou o serviço do Twitter em 06 de agosto de 2009. O Net Tools que mencionei anteriormente possui uma ferramenta de HTTP Flood, mas que não funciona. Por isso, você pode optar por utilizar uma ferramenta famosa como Port Scanner e sistemas de pen test, mas que é capaz de gerar ataques DoS melhores que os de muitas ferramentas hacker, se bem que isso não seja a sua (nem a nossa) intenção. Estamos falando do Shadow Security Scanner uma ferramenta russa que pode ser adquirida em: http://www.safety-lab.com/SSS.exe. Essa cópia do programa pode ser usada por 15 dias mas se você trabalha continuamente com pen tests e redes, vale à pena adquiri-la.
Depois de instalar o programa, inicie-o e ele irá se atualizar, configure um proxy após ele totalmente carregado para se utilizar e ocultar seu IP, mantenha a opção HTTP Proxy, entre em http://www.samair.ru/proxy/proxy-01.htm, uma famosa lista de proxys anônimos e gratuitos. Escolha a porta de conexão correspondente e preencha o resto, caso algum proxy não funcione, teste outros. Agora, abra a interface do programa, clique no ícone DoS Checker, a seguir, clique na opção HTTP Stress. Preencha o Host com o IP alvo, se for de sua rede tente o comando tracert no ms-dos. Agora ajuste os Threads, Delay e Packet size para o tamanho máximo (de um modo rápido para iniciar o ataque), clique em Start e observe a ação.
ARP Flood
O protocolo ARP (Address Resolution Protocol) foi desenvolvido para resolver o problema do mapeamento de endereços lógicos, em endereços físicos, em redes Ethernet baseadas em IP, mas não restritas apenas estes dois protocolos (caso das redes TCP/IP). O problema é que o protocolo ARP opera em broadcasting, ou seja, transmite para todas as estações da rede até encontrar o endereço para onde se destina. Além disso tem uma infraestrutura facilmente manipulável, o que torna o seu uso para ataques muito simples.
Vamos ver agora o ataque usando o WinArpAttacker, uma ferramenta perfeitamente legal (poe ser utilizada para testes de segurança), que também pode ser utilizada para fins destrutivos ou demoniacos, já que é capaz de encontrar IPs ativos na rede, identificar portas abertas em máquinas e direcionar um ataque ARP exatamente para o alvo escolido. O software pode ser baixado em: http://xfocus.net/tools/.
- Ao baixar o programa pode ser necessário instalar o Winpcap que deverá acompanhar o pacote rar do download;
- Abra o programa e localize na seta ao lado o botão Scan, clique nele, e selecione Scan Lan. (Claro que esta forma só mostrará apenas as máquinas habilitadas a receber pacotes de modo promíscuo, ou escutar os broadcastings da rede, para uma melhor configuração clique na seta ao lado do botão Scan e clique em Advanced;
- Surgirá a janela Scan, selecione a opção Scan local networks, selecione ali as redes presentes;
- Clique em Antsniff;
- Aperte Scan e o cache ARP da rede será revelado em minutos;
- Selecione o alvo, clique sobre a seta ao lado do botão ARP Attack e clique em Flood (equivalente a mil pacotes ARP com endereços aleatórios);
- Para realizar ataques mais fortes clique no botão Options, a seguir, clique sobre a aba Attack, na linha ARP Flood times (1-10,000,000) digite o valor: 10000000 (10 milhões);
E poderá existir mais opções de ataques e estratégias a serem tomadas nas configurações do software de ataque, mas não vamos nos aprofundar se não fica muito fácil, tente descobrir, faça o sentido "testar" valer a pena e é assim que se aprende.
0 comentários:
Postar um comentário