vamos ver o que é, como funciona e como é feito (teoricamente) ataques do tipo DoS (Deinal of Service) e DDoS(Distributed Denial of Service), inclusive esses mesmos ataques foram usados para derrubar sites do Governo recentemente.

O que é um ataque DoS?

Ataques do tipo DoS (Denial Of Service) também conhecidos como negação de serviço, consistem em uma sobrecarga de um servidor ou computador comum, evitando que o mesmo atenda aos seus clientes, para fazer essa sobre carga, são usadas técnicas em que o atacante, no caso um hacker ou cracker, envie diversos pedidos de pacotes para o alvo de tal forma que o mesmo fique sobrecarregado e não consiga responder a mais nenhum pedido de pacote, dessa forma usuários comuns não conseguirão mais acessar os dados do servidor por ele não responder mais a pedidos.

Exemplificando de forma ilustrativa, imagine uma loja em que você sempre vai, essa loja tem uma certa capacidade de clientes que ela pode abrigar em seu espaço e que ela possa atender ao mesmo tempo. Em dias normais você vai até a loja, compra o que quer e vai embora. Agora imagine várias e várias pessoas entrando nessa mesma loja, ao mesmo tempo, apenas para pedir diversas informações sobre os produtos de forma que a loja fique extremamente lotada, se isso acontecer, você não vai conseguir entrar na loja, ou se conseguir entrar, não conseguirá pedir informações e nem comprar nada, é mais ou menos isso que ocorre em um ataque DoS.

No caso de ataques DoS, existe apenas um atacante, ou seja, um único computador faz vários pedidos de pacotes para o alvo, sendo assim, o atacante poderá derrubar apenas servidores fracos ou computadores comuns sem muito preparo e com pouca banda.

Bom, sabemos o que é DoS, mas como que o atacante consegue fazer vários pedidos de pacote ao mesmo tempo?

Existem diversas ferramentas que conseguem fazer pedidos contínuos de pacotes de vários protocolos, uma dessas ferramentas é a T50 Sukhoi PAK FA Mixed Packet Injector, desenvolvida por um brasileiro (Nelson Brito), com essas ferramentas o atacante pode fazer o ataque ao servidor.

O que é DDoS?

Como foi dito nos últimos parágrafos acima, os ataques DoS são feitos por um atacante, por isso é quase impossível derrubar um servidor robusto, é ai que entra o DDoS (Distributed Denial Of Service).

Os ataques do tipo DDoS consistem em vários computadores fazendo um ataque DoS ao mesmo tempo contra o mesmo alvo, ou seja, além do computador do atacante, vários outros computadores farão o mesmo ataque ao servidor alvo.

Levando novamente como exemplo a loja que você frequenta, seria como as várias pessoas que estivessem pedindo informações chamassem outras várias pessoas para sobrecarregar ainda mais a loja.

Para conseguir fazer com que vários computadores ataquem um mesmo alvo, os hackers e crackers infectam vários computadores com trojans que contém o programa utilizado para o ataque DoS mesclado, dessa forma, assim que o atacante der uma ordem, todos os computadores infectados irão atacar o mesmo alvo, ao mesmo tempo. Os computadores que são infectados por hackers e utilizados para ataques DDoS são chamados de zumbis.

Antigamente os Hackers e Crackers preferiam infectar servidores, para ataques DDoS, mas com a evolução da banda larga e a popularização da mesma entre usuários domésticos, hoje em dia é mais viável para um hacker ou cracker, infectar computadores domésticos, por ser mais fácil e por ter 80% de chances do computador ter uma banda larga de pelo menos 1 MB.

Veja abaixo um exemplo da hierarquia de um ataque DDoS:

O atacante é o mais alto na hierarquia, ele que da ordem de ataque para os computadores mestres, essa ordem consiste em ip ou domínio do alvo e informações extras como horário do ataque, quantidade de solicitações de pacotes, tamanho de pacotes, etc. Os computadores mestres repassam a ordem de ataque para o seu grupo de zumbis, feito isso os zumbis fazem o ataque. Essa hierarquia tem como objetivo dividir o serviço e esconder o atacante, no caso do exemplo acima, ao invés do atacante dar 6 ordens de ataque para os zumbis, ele da apenas 2 para os mestres que dão outras três para os seus zumbis.

Como são vários zumbis atacando um mesmo alvo e por trás deles ainda há um mestre, quando um ataque DDoS ocorre é quase impossível descobrir quem é o verdadeiro autor do ataque, por isso na maioria das vezes o hacker ou cracker sai impune.

Hoje em dia grupos hackers mantém grandes redes com mais de 1 milhão de computadores zumbis, prontos para receberem ordens e atacarem um alvo em especifico, essas redes são chamadas de botnets e crescem a cada dia com a infecção de outros computadores que se juntam a rede de zumbis.

Com o ataque de vários computadores zumbis, por exemplo 1 milhão deles, até mesmo um servidor robusto não aguentaria as solicitações de todos os zumbis + os usuários comuns, então o servidor acaba caindo.

Em 2010 empresas grandes foram alvos de ataques DDoS como a Visa, Mastercard e Paypal. Nesse ano (2011) vários sites do governo brasileiro sofreram esse mesmo tipo de ataque e ficaram fora do ar.

Tanto em casos de ataques DoS quanto ataques DDoS, os atacantes não conseguem obter acesso a base de dados ou arquivos do servidor alvo, esses ataques tem como finalidade apenas derrubar o servidor sobrecarregando-o.

Como a policia investiga esses ataques?

Quando um ataque DDoS ocorre os peritos computacionais coletam o máximo de informações possíveis sobre o ataque. Analisam o servidor atacado, procuram saber se houve alguma falha explorada, se além do ataque DDoS o servidor alvo sofreu outro tipo de ataque, etc. A idéia é chegar o mais próximo possível do computador que deu o comando de ataque aos outros, para que assim possa chegar ao hacker ou cracker.

Como saber se o meu computador é um zumbi?

Os trojans que são usados para tornar computadores zumbis, não são comuns e fáceis de ser de detectados quanto os trojans ultrapassados que tem na Internet, ao contrário, eles são bem sofisticados e utilizam técnicas para se esconder dos antivírus e anti-spywares, por tanto mesmo com um bom antivírus o seu computador ainda pode se tornar um zumbi.

Para saber se o seu computador é um zumbi ou não, você precisa ficar de olho no tráfego da sua rede. Veja abaixo alguns sintomas de um computador zumbi:

• O computador fica enviando pacotes sem que o usuário esteja acessando algum serviço da Internet.

• O computador fica baixando pacotes sem que o usuário tenha autorizado.
  

• Internet lenta mesmo sem estar fazendo tarefas simultâneas na Internet.

• Computador lento sem estar sendo usado

Veja abaixo algumas medidas que podem evitar que o seu computador se torne um zumbi:

• Desligar o computador quando não estiver utilizando-o.

• Usar um bom Firewall (recomendo o COMODO).

• Usar um bom antivírus (melhor “com” do que “sem” ).

• Nunca baixar arquivos de sites suspeitos.

• Nunca baixar arquivos anexos a emails de remetentes que você não conheça.

• Tomar cuidado com os arquivos baixados por torrent ou compartilhadores P2P.

Sou administrador de um servidor, como evitar ataques DDoS?

Apesar de não ser possível bloquear 100% um ataque DDoS bem feito, sem tirar o servidor da tomada ou desconecta-lo da internet, há algumas medidas que podem ser tomadas para dificultar esses tipos de ataques, são elas:

• Utilizar um bom Firewall.

• Criar regras exclusivas e consistentes para o Firewall.
  

• Sempre atualizar o sistema operacional.

• Sempre atualizar a firmware de roteadores e dispositivos semelhantes.

• Sempre atualizar programas utilizados no servidor.

• Sempre manter uma boa vigilância dos pacotes trafegados na rede.

Se essas medidas forem seguidas, você conseguira evitar pelo menos ataques DDoS de pequena proporção, além é claro de outros possíveis ataques e invasões.

Fonte