You are on page 1of 7

4

INTRODUO

O trabalho a seguir tem o objetivo de mostrar algumas das tcnicas que so utilizadas para realizar ataques em uma rede de computadores.

ATAQUES E CONTRAMEDIDAS

1 MAPEAMENTO

No mundo real (no sentido de oposto ao mundo ciberntico), um ataque quase sempre precedido de coleta de informaes. Antes de atacar uma rede, os invasores gostariam de saber os endereos IP das mquinas pertencentes rede, quais sistemas operacionais elas utilizam e os servios que esses sistemas oferecem. Com essas informaes, os ataques podem ter um foco mais concentrado e a probabilidade de causar alarme menor. O processo de coleta de informaes conhecido como Mapeamento. Um programa como o Ping pode ser utilizado para determinar os endereos IP das mquinas presentes na rede simplesmente observando quais endereos respondem mensagem Ping. Varredura de portas (por scanning) refere-se a tcnica de contatar sequencialmente (seja via requisio de conexo TCP, seja via um simples datagrama UDP) nmeros de portas em uma mquina e ver o que acontece em resposta. Essas respostas, por sua vez, podem ser usadas para determinar os servios (por exemplo, HTTP ou FTP) oferecidos pela mquina. Nmap uma aplicao de cdigo-fonte aberto amplamente utilizada para explorao de redes e para auditoria de desempenho, que executa varredura de portas. Muitos firewalls, como os vendidos pela Checkpoint, detectam mapeamento e varredura de portas, bem como outras atividades mal-intencionadas, e as informam ao administrador da rede.

2 ANLISE DE PACOTES

Um analisador de pacotes (packet sniffer) um programa que funciona em um dispositivo acoplado rede e que recebe passivamente todos os quadros de camada de enlace que passam por sua interface de rede. Em ambiente broadcast como uma LAN Ethernet, isso significa que o analisador de pacotes recebe todos os quadros que esto sendo transmitidos de ou para todos os hospedeiros na LAN. Qualquer hospedeiro que tenha uma placa Ethernet podem facilmente servir de analisador de pacotes, pois basta ajustar o adaptador de Ethernet

no modo promscuo (promiscuous mode) para que ele receba todos os quadros que passam na Ethernet. Esses quadros podem, ento, ser passados aos programas de aplicao que extraem dados de camada de aplicao. Por exemplo, no cenrio Telnet, onde o pedido de senha de login enviado de A para B, bem como a senha informada em B, analisado no hospedeiro C. Aps obter senhas de acesso a contas de usurios, intrusos podem se fazer passar pelos donos das contas para lanar um ataque de negao de servio. Assim, a anlise de pacotes uma faca de dois gumes, pode ser de inestimvel valor para o administrador de rede realizar a monitorao e a administrao da rede, mas tambm pode ser usada por um hacker inescrupuloso. Softwares para anlise de pacotes podem ser obtidos de graa em vrios sites Web ou adquiridos no mercado. Sabe-se que professores que ministram cursos sobre redes tm passado exerccios de laboratrio que envolvem escrever um programa de analise de pacotes e de recuperao de dados no nvel de aplicao. A chave para detectar anlise de pacotes e detectar interfaces de rede que esto configuradas para modo promscuo. Quando se trata de uma empresa, os administradores de redes podem instalar um software em todos os computadores, que os alertar quando uma interface est configurada para o modo promscuo. H vrios estratagemas que podem ser executados remotamente para detectar interfaces promscuas. Por exemplo, um hospedeiro que responda a um datagrama ICMP de solicitao de eco (isto , que envia uma resposta de eco ICMP) que est corretamente endereado ao datagrama IP, porm contem um endereo MAC incorreto, provavelmente tem sua interface configurada em modo promscuo. A chave para conviver com a anlise de pacotes criptografar todos os dados (em partculas as senhas) que cruzam um enlace de rede.

3 FALSIFICAO

Qualquer equipamento conectado internet necessariamente envia datagramas IP para a rede. Lembrando que esse datagramas portam o endereo IP do remetente, bem como dados da camada superior. Um usurio que tenha completo controle sobre o software do equipamento (em particular sobre o sistema operacional) pode facilmente modificar os protocolos daquele equipamento e colocar um endereo IP arbitrrio no campo Endereo de

Fonte (Source Address) do datagrama. Isso conhecido como falsificao de IP. Dessa maneira, um usurio pode montar um pacote IP que contenha quaisquer dados de carga til (camada superior) que quiser e fazer com que parea que os dados foram enviados de um hospedeiro IP arbitrrio. A falsificao de IP muito usada em ataques de recusa de servio para ocultar a identidade de quem originou o ataque. Se o endereo de fonte IP de um datagrama for falsificado, difcil descobrir o hospedeiro que o enviou. Do ponto de vista tcnico, fcil evitar falsificao. Roteadores que executam filtragem de entrada verificam os endereos IP de datagramas que esto chegando e determinam se o endereo de fonte est na faixa de endereos de rede que se sabe que podem ser alcanados por meio daquela interface. Essa verificao pode ser realizada com facilidade na borda da rede, por exemplo, em um gateway ou firewall de uma certa empresa onde conhecida uma determinada faixa de endereo dentro da qual esto todos os hospedeiros existentes na empresa. A filtragem de ingresso hoje considerada uma boa prtica na internet. Embora seja simples do ponto de vista tcnico a filtragem de ingresso no pode ser imposta e, portanto, de um ponto de vista social, difcil de implantar - em consequncia, no implementada universalmente.

4 ATAQUES DE NEGAO DE SERVIO (DoS)

H uma categoria muito ampla de ameaas segurana que pode ser classificada como ataques de negao de servio (denial-of-service - DoS). Ela um ataque DoS que torna impossvel a utilizao de uma rede, de um hospedeiro ou de qualquer outro componente da infra-estrutura da rede pelos usurios legtimos. Em geral, um ataque DoS funciona pela criao de uma quantidade to grande de trabalho para a infra-estrutura sob ataque que o trabalho legitimo no pode ser realizado. Em um ataque de inundao SYN, o atacante inunda um servidor com pacotes TCP SYN, cada um com um endereo IP de fonte falsificado. O servidor, incapaz de diferenciar um pacote SYN legtimo de um falsificado, conclui a segunda etapa da apresentao TCP para um SYN falsificado, alocando a ela estrutura de dados e estado. A terceira etapa da apresentao de trs vias nunca concluda pelo atacante, o que deixa um nmero cada vez maior de conexes parcialmente abertas. A carga de pacotes SYN a ser processada e a exausto da memria livre podem derrubar o servidor. Uma forma relacionada de ataque envia fragmentos IP a um hospedeiro, mas nunca um nmero suficiente

desses fragmentos que completem um datagrama, consumindo, com o passar do tempo, uma quantidade cada vez maior de armazenamento. Em ataque Smurf funciona fazendo com que um grande nmero de hospedeiros inocentes respondam a pacotes ICMP de solicitao de eco que contm um endereo IP de fonte falsificado. Isso resulta no envio de um grande nmero de pacotes ICMP de resposta de eco ao hospedeiro cujo endereo IP objeto de falsificao.

4.1 ATAQUES DE NEGAO DE SERVIO DISTRIBUDO (DDoS)

Em um ataque de negao de servio distribudo (DDoS), em primeiro lugar o atacante obtm acesso a contas de usurios em inmeros hospedeiros por toda a internet (por exemplo, analisando senhas ou entrando nas contas de usurio por outros meios). O atacante ento instala e executa um programa escravo em cada site comprometido que fica l, esperando, quieto, pelos comandos de um programa mestre. To logo um grande nmero de programas escravos esteja sendo executados, o programa mestre contata cada um deles e lhes passa instrues para lanar um ataque DoS contra algum hospedeiro escolhido como alvo. O ataque coordenado resultante dessa manobra particularmente devastador, pois vem de muitas direes ao mesmo tempo. Ataques DDoS so bem mais difceis de se proteger e so bem mais difceis e demorados de se resolver.

5 SEQUESTRO

Suponha que Alice e Bob participem de uma conexo em curso e que Trudy dispe de meios para monitorar pacotes que fluem entre eles. Trudy pode se apossar, ou sequestrar, a conexo em curso ente Bob e Alice. Em particular, ela pode enganar Bob e faz-lo acreditar que continua se comunicando com Alice, embora esteja se comunicando com ela, Trudy. Em primeiro lugar, Trudy tira Alice de cena lanando um ataque DoS contra ela. Como j estava monitorando a comunicao entre Bob e Alice, Trudy j conhece o estado completo (por exemplo, nmero de sequncia, nmero de ACK, janela anunciada pelo destinatrio) da conexo TCP entre Alice e Bob. Assim, ela pode falsificar datagramas IP enviados a Bob (utilizando o endereo de Alice como endereo de fonte) contendo segmentos TCP vlidos e uma carga til de usurio arbitrria.

CONCLUSO

Com o trabalho apresentado pode-se concluir que com o crescimento das redes de computadores aumentaram tambm o interesse de alguns usurios em desenvolver maneiras de se invadir e manipular outras redes. Portanto, deve-se tomar certas iniciativas para poder evitar e bloquear esses ataques e com isso garantir que o usurio consiga realizar o seu acesso em segurana.

10

REFERNCIAS BIBLIOGRFICAS

KUROSE, James F.; ROSS, Keith W. Redes de Computadores e a Internet: Uma abordagem top-down. Traduo de Arlete Simille Marques. 3 ed. So Paulo: Pearson, 2006. cap. 8. p. 546-549.