CAIS-ALR-05012000

Recentes Ataques de Denial-of-Service

[CAIS, 05.01.2000, revisão 01]

Resumo

Este alerta trata de ataques do tipo Denial-of-Service (DoS). Está em curso uma nova onda de ataques deste tipo, usando ferramentas distribuídas, o que dificulta sua detecção.

Motivação

Com o grande número de ocorrências de ataques DoS recentemente na Internet, usando ferramentas distribuídas e ataques coordenados, o CAIS pretende com este alerta esclarecer os administradores sobre as mais recentes ferramentas, mecanismos de detecção e proteção contra este tipo de ataque.

Detalhes

Um dos ataques mais comuns hoje em dia é a negação de serviço ( Denial-of-Service, DoS ). Sua característica principal é "derrubar" serviços Internet, comprometendo parcialmente ou totalmente uma máquina.

Dentre os ataques DoS, o mais atual é o ataque distribuído, onde a vitima é atacada de vários pontos distintos. Esse tipo de ataque coordenado é muito difícil de ser detectado, pois as fontes de ataque são numerosas.

Para a utilização destas ferramentas, o atacante deve possuir acesso em diversas maquinas, provavelmente conseguido com a exploração de vulnerabilidades conhecidas.

A mais recente ferramenta de DoS, descoberta em maquinas comprometidas, chama-se "Stacheldraht". Tal ferramenta possui um servidor, chamado de handler, e um cliente, chamado de agent. Um ponto interessante é que a comunicação entre estes "aplicativos" é feita usando-se um telnet com criptografia, ou seja, a comunicação está sendo feita de forma segura, o que dificulta, se não inviabiliza, sua detecção. As outras ferramentas de DoS conhecidas são Trinoo, Tribe Flood Network ou TFN e TFN2K. A ferramenta atual "Stacheldraht" é baseada no código original do TFN.

Impacto

Ataques DoS afetam o desempenho de serviços Internet, comprometendo parcialmente uma maquina ou causando falha geral.

Detecção

Uma forma de detectar a presença destas ferramentas é com o monitoramento de pacotes ICMP, pois os agents enviam estes pacotes para informar que estão ativos. Os pacotes possuem a seguinte característica:

Tipo do pacote: ICMP ECHO_REPLAY
Tamanho do pacote enviado pelo handler: 666
Texto incluso no pacote: skillz
Tamanho do pacote enviado pelo agent: 667
Texto incluso no pacote: ficken

ICMP message id: 10.0.0.1 > 192.168.0.1 ICMP type: Echo reply 45 E 00 . 04 . 14 . 01 . 0F . 00 . 00 . 40 01 . E9 . 53 S 0A . 00 . 00 . 01 . C0 . A6 . 00 . 01 . 00 . 00 . B4 . 13 . 02 . 9A . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 73 s 6B k 69 i 6C l 6C l 7A z 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . . . . [60 lines of zeros deleted] 00 . 00 . 00 . 00 .

ICMP message id: 192.168.0.1 > 10.0.0.1 ICMP type: Echo reply 45 E 00 . 04 . 14 . 04 . F8 . 00 . 00 . 40 01 . E5 . 6A j C0 . A6 . 00 . 01 . 0A . 00 . 00 . 01 . 00 . 00 . CE . 21 ! 02 . 9B . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 66 f 69 i 63 c 6B k 65 e 6E n 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . 00 . . . . [60 lines of zeros deleted] 00 . 00 . 00 . 00 .

dados retirados de: http://staff.washington.edu/dittrich/misc/stacheldraht.analysis

Para se detectar a presença de uma das versões do "Stacheldraht" deve-se utilizar um software chamado NIPC que pode ser encontrado em:

http://www.fbi.gov/nipc/trinoo.htm

Uma outra alternativa é utilizar uma ferramenta de scan e procurar por serviços não autorizados. Por default, o "Stacheldraht" fica instalado nas seguintes portas:

Client to handler(s): 16660/tcp
Handler to/from agent(s): 65000/tcp,
ICMP ECHO_REPLY

# lsof -c mserv COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME mserv 1073 root 3u inet 2144 TCP *:16660 (LISTEN)

# lsof -c ttymon COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME ttymon 449 root 0u inet 811 TCP *:32222 (LISTEN)

Vale ressaltar que essas portas default podem ser alteradas.

Atenção: Ao utilizar uma ferramenta de Scan, tenha certeza de usá-lo somente na sua própria rede.

A detecção destas ferramentas de DoS pode ser prejudicada pelo fato da maquina ter sido previamente atacada e provavelmente ter sido vitima da instalação de root-kits que servem para camuflar a presença do atacante.

Proteção

O mecanismo de proteção para evitar especificamente estes ataques é o mesmo recomendado para evitar ataques de maneira geral, ou seja, seguir os procedimentos básicos para administração segura.

Referências

http://www.cert.org/advisories/CA-2000-01.html
http://www.sans.org/resources/idfaq/tfn_toolkit.php
http://xforce.iss.net/alerts/advise40.php3
http://www.cert.org/tech_tips/denial_of_service.html
http://staff.washington.edu/dittrich/misc/stacheldraht.analysis
http://www.fbi.gov/nipc/trinoo.htm
http://www.iss.net/cgi-bin/dbt-display.exe/db_data/press_rel/release/1/22899199.plt

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais