A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Criptografia e Segurança em Redes Capítulo 19

PublicouKauê Garro Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Criptografia e Segurança em Redes Capítulo 19"— Transcrição da apresentação:

1 Criptografia e Segurança em Redes Capítulo 19
Quarta edição por William Stallings Slides por Lawrie Brown Tradução por Paulo Werdt Palestra de slides por Lawrie Brown para "Criptografia e Segurança em Redes", 4 / e, de William Stallings, Capítulo 19 - "Software Malicioso".

2 Capítulo 19 –Software malicioso
“Qual o conceito de defesa? Desviar-se de um golpe. Qual é a sua principal característica?: Esperar o golpe” —Sobre a guerra, Carl Von Clausewitz Citação de abertura.

3 Vírus e outros conteúdos maliciosos
Os vírus de computador têm tido muita publicidade. Mas são apenas um tipo de software malicioso. Geralmente causam efeitos óbvios. Aparecem em notícias, ficção, filmes (muitas vezes de maneira exagerada) recebendo mais atenção do que realmente merecem. Porém devem ser temidos. Este capítulo examina o software malicioso (malware), especialmente os vírus e worms, que exploram vulnerabilidades em sistemas de computação. Estes passaram a receber inúmeros comentários na mídia em geral (muitas vezes malinformados). Eles são, porém, motivo de grande preocupação.

4 Software malicioso A terminologia utilizada para o software malicioso apresenta problemas devido à falta de acordo sobre todos os termos universais e por causa da sobreposição. Tabela 19.1 do Stallings. Este esquema fornece uma taxonomia útil. Ela pode ser dividida em duas categorias: os que necessitam de um programa hospedeiro (sendo o malware um fragmento do programa, por exemplo, o vírus), e aqueles que são programas independentes (por exemplo, worms); em alternativa, também podemos diferenciar essas ameaças entre softwares que não se replicam (são ativados por um gatilho) e aqueles que o fazem (produzem cópias de si mesmos). Esse tipo de malware será visto nos próximos slides.

5 Backdoor (Porta dos fundos) ou Alçapão
Pontos de entrada secretos dentro de um programa. Permite àqueles que conhecem o acesso burlarem procedimento de segurança usuais. Comumente usado por desenvolvedores. Uma ameaça quando deixados em programas de produção, permitindo a exploração dos atacantes. Muito difícil para o SO bloquear. Requer um bom desenvolvimento e atualização de Software. Um backdoor, ou alçapão, é um ponto de entrada secreto em um programa que permite que alguém que está consciente desse ponto possa ganhar acesso sem passar pelos procedimentos habituais de segurança. Foram utilizados legitimamente por muitos anos para depurar e testar programas, masse tornam uma ameaça quando deixados na produção dos programas. É difícil implementar controles para alçapões em sistemas operacionais. As medidas de segurança tem de ser focadas no desenvolvimento dos programas e nas atividades de atualização de sw.

6 Bomba lógica Um dos tipos mais antigos de software malicioso.
Código embutido em programas legítimos. Ativada quando encontra determinada condição Presença ou ausência de algum arquivo. Uma data/hora em particular. Um usuário em particular. Quando acionado normalmente causa danos ao sistema: Modificando ou deletando arquivos ou discos, resetando a máquina. Uma bomba lógica é uma das mais antigas formas de programa malicioso, sendo código embutido em alguns programas legítimos preparadas para "explodir" quando determinadas condições, tais como s exemplificadas no slide, sejam satisfeitas. Uma vez desencadeada, uma bomba pode alterar ou excluir dados ou arquivos inteiros, causando o travamento de uma máquina ou gerando algum outro dano.

7 Cavalo de Tróia Programa com efeitos ocultos. Em geral é superficialmente atrativo: Jogos, prêmios, atualizaçãos de SW. Executa tarefas adicionais quando roda: Permite ao atacante obter acesso indireto onde não existe acesso direto. Frequentemente utilizado para propagar um vírus / worm, instalar um alçapão ou simplesmente para destruir dados. Um Cavalo de Tróia é um programa atrativo, ou aparentemente útil ou um procedimento desejado (por exemplo, jogos, utilitários, atualização de sw, etc...) que contém código oculto para realizar efeitos indesejados ou nocivos que um usuário não autorizado não poderia realizar diretamente. Comumente utilizados para tornar arquivos legíveis, propagar um vírus ou worm, ou simplesmente para destruir dados.

8 Zumbi Programa que secretamente assume o lugar de outro computador ligado à rede e dessa forma lança ataques. Geralmente utilizado para gerar ataques distribuídos de negação de serviço (DDoS). Conhecido por explorar falhas em sistemas de rede. Um zumbi é um programa que secretamente assume outro computador ligado à Internet e, em seguida, usa esse computador para lançar ataques que são difíceis de se rastrear até o criador do zumbi. Zumbis são utilizados em ataques de negação de serviço, sendo plantados em centenas de computadores pertencentes a terceiros inocentes e, em seguida, utilizados para sobrecarregar a rede alvo com o lançamento esmagador de tráfego de Internet. Normalmente os zumbis exploram falhas conhecidas em sistemas de computadores ligados à rede.

9 Vírus Um pedaço de código auto-replicante inserido em outro código.
cf Vírus biológico. Propaga a sí mesmo ? Carrega código para fazer cópias de sí mesmo. Bem como código para realizar outras tarefas. Um vírus é um pedaço de software que pode "contaminar" outros programas, modificando-os; a modificação inclui uma cópia do programa de vírus, que pode então passar a infectar outros programas. Ele pode ser comparado ao vírus biológico, assim como eles, um vírus de computador carrega em seu código de instrução a receita perfeita para fazer cópias de si mesmo. Quando um vírus é executado, ele pode executar qualquer função, como apagar arquivos e programas.

10 Operação de um vírus Fases de um vírus:
Dormente – Esperando por um evento gatilho. Propagação – Replicando para outros programas e discos. Desencadeamento – Por um evento para executar a carga maliciosa. Geralmente detalha uma Maquina ou um SO específico. Expondo suas características e fraquezas. Durante sua vida útil, um vírus típico atravessa as seguintes quatro fases: • Fase dormente: vírus fica inativo, à espera de um evento de acionamento (por exemplo, uma data, um programa ou arquivo específico, uma capacidade alcançada do disco). Nem todos os vírus têm esta fase. • Fase de propagação: vírus coloca uma cópia de si mesmo em outros programas / áreas do sistema. • Fase de acionamento: vírus é ativado por alguma evento de gatilho para realizar função pretendida • Fase execução: a função pretendida (que pode ser inofensiva ou destrutiva) é realizado A maioria dos vírus trabalham de uma forma específica para um determinado sistema operacional ou mesmo para uma determinada plataforma de hardware, e são projetados para tirar proveito das informações e as fraquezas desses sistemas em particular.

11 Estruturas de vírus program V := {goto main; 1234567;
subroutine infect-executable := {loop: file := get-random-executable-file; if (first-line-of-file = ) then goto loop else prepend V to file; } subroutine do-damage := {whatever damage is to be done} subroutine trigger-pulled := {return true if condition holds} main: main-program := {infect-executable; if trigger-pulled then do-damage; goto next;} next: } Figura 19/1 do Stallings Mostra uma descrição geral da estrutura dos vírus. O código do vírus (V) é próprio para a infecção de programas (assumindo que o ponto de entrada seja a primeira linha do programa). A primeira linha do código pula para o programa principal do vírus. A segunda linha é um marcador especial para programas infectados. O programa principail do vírus procura primeiro arquivos executáveis não infectados e os infecta. Em seguida, ele pode executar alguma ação, geralmente prejudicial para o sistema, dependendo de alguns gatilhos. Finalmente, o vírus transfere o controle para o programa original. Se a fase de infecção do programa é razoavelmente rápida, um usuário provavelmente não irá notar qualquer diferença entre a execução de um programa infectados e de um não infectado. Este tipo de vírus pode ser detectado, porque o tamanho do programa se altera. Variantes mais sofisticadas tentam ocultar melhor, a sua presença, como por exemplo, comprimir o programa original.

12 Tipos de vírus Podem ser classificados de acordo com a forma como eles atacam. Vírus parasitas. Vírus residentes em memória. Vírus de boot de setor. stealth. Vírus polimórficos. Vírus metamórficos. Tem havido uma contínua corrida armamentista entre desenvolvedores de vírus e desenvolvedores de softwares antivírus, com as seguintes categorias sendo mais significativas entre os tipos de vírus: • V[irus parasitas: tradicional e ainda a forma mais comum de vírus, que ficam atrelados a arquivos executáveis e se replicam quando o programa infectado é executado • Vírus residentes em memória: Atrelados a memória principal, como parte de um programa residente do sistema, e infectam todos os programa que executam. • Vírus de boot de setor: infectam um registro mestre de inicialização e se espalham quando um sistema é iniciado a partir do disco que contém o vírus. • Vírus Stealth: um vírus explicitamente concebido para esconder-se de detecção pelos softwares antivírus. • Vírus polimórficos: Sofrem mutações a cada infecção, tornando a detecção pela "assinatura" do vírus impossível. • Vírus metamórficos: Sofrem mutações a cada infecção, reescrevendo´se completamente a cada iteração mudando seu comportamento e / ou aparência, aumentando a dificuldade de detecção.

13 Macro Virus Um Macro anexado a algum arquivo de dados.
Interpretado pelo programa que usa o arquivo: ex: Word/Excel macros Usando comandos auto-executáveis e comandos de macro. Código fica independente de plataforma. É a maior fonte das novas infecções virais. Difícil distinção entre dados e arquivos de programas. classic trade-off: "ease of use" vs "security”. Melhorou a segurança do Word e etc… Não é mais a ameaça dominante. Em meados da década de 1990, os macro vírus se tornaram de longe o tipo de vírus mais prevalente, e eram particularmente ameaçadores, pois eles são independentes de plataforma, documentos infectados não executam código, e são de fácil propagação. Viroses de Macro se aproveitam das características dos macros encontradas no Word e em outros aplicativos do Office. Uma macro é um programa executável embutido em um documento de processamento de texto ou outro tipo de arquivo, assim fica difícil a distinção entre programa e documento. Há uma corrida armamentista no campo dos vírus de macro. As sucessivas versões do Word fornecem maior proteção contra vírus de macro, e eles já não são a ameaça predominante no mundo dos vírus.

14 Virus de Espalha-se usando cujos anexos contém vírus de macro. cf Melissa É acionado quando o usuário abre o anexo. Ou pior, quando o é visualizado por meio de algum script do gerenciador de . Então propaga-se rapidamente. Geralmente orientados para o gerenciador de Microsoft Outlook e documentos Word / Excel. Necessita de melhores SO e aplicações de segurança. O mais recente desenvolvimento em software malicioso é o vírus de . A rápida propagação de vírus de , como o Melissa, fez uso de uma macro do Microsoft Word embutida em um anexo, desencadeada quando o anexo era aberto. No final de 1999, uma versão mais poderosa de vírus de apareceu, ativado apenas através da abertura do que continha o vírus, ao invés da abertura do anexo. Como resultado, em vez de levar meses ou anos para se propagar, este leva apenas horas. O que tronou muito difícil a detecção pelo software anti-vírus antes que bastante estrago tenha sido causado. Em última análise, um maior grau de segurança deve ser construído nas aplicações de internet e de software dos computadores pessoais para combater esta ameaça crescente.

15 Worms Replicantes, mas não infectam programas.
Em geral, espalham-se em redes. ex: Morris Internet Worm em 1988. Levaram a criação das CERTs. Usando privilégios distribuídos aos usuários ou explorando vulnerabilidades do sistema. Muito usados por hackers para criar PCs Zumbis, e assim, usá-los para novos ataques. Maior problema é a falta de segurança dos sistemas permanentemente conectados. Um worm é um programa que pode replicar a sí próprio e enviar cópias de computador para computador através de conexões de rede. Na chegada, o worm pode ser ativado para reproduzir e propagar novamente, e, geralmente, também para realizar algumas funções indesejadas. Um worm procura ativamente outras máquinas para infectar e cada máquina que é infectada serve como ponto de lançamento de ataques automatizados para outras máquinas. Para reproduzir-se, um worm de rede utiliza algum tipo de veículo, como um , execuções remotas, ou logins remotos. Uma vez ativo dentro de um sistema, um worm pode se comportar como um vírus de computador ou uma bactéria, ou pode implantar programas Cavalos de Tróia ou executar inúmeras ações perturbadoras ou destrutivas.

16 Operação de um Worm As fases de um worm são as mesmas de um vírus:
Dormência. Propragação Procura por outros sistemas a infectar. Estabelecimento de conexão com um sistema remoto alvo. Auto replicação em um sistema remoto . Acionamento. Execução. Um worm de rede exibe as mesmas características que um vírus de computador: uma fase dormente, uma fase de propagação, uma fase de desencadeando e uma fase de execução. A fase de propagação geralmente: Procura por outros sistemas a se infectar pelo exame das tabelas de Hosts. Estabelece uma conexão com um sistema remoto Copia-se para o sistema remoto e força a execução da cópia.

17 Morris Worm Mais conhecido dos Worms clássicos.
Liberado por Robert Morris em 1988. Visava sistemas Unix. Utilizando várias técnicas de propagação: Simples quebra de senha de um arquivo protegido. Explorando bugs no finger daemon. Explorando o debug de alçapão no daemon de s de saída. Se qualquer ataque der certo faz auto- replicação. Até recentemente, o mais conhecido foi o Morris worm, liberado para a Internet por Robert Morris em Foi concebido para se espalhar nos sistemas UNIX e utilizar uma série de diferentes técnicas de propagação, incluindo a quebra do arquivo de senhas local para obter logins e senhas, explorando um bug no protocolo, ou explorando um alçapão na opção debug do daemon de envio de . Se qualquer ataque fosse bem sucedido, logo em seguida, o worm tinha maneiras de rodar em outro sistema e replicar-se.

18 Ataques recentes de Worm
Nova incidência de ataques em meados de 2001. Código vermelho – usou MS IIS bug. Sondou IPs aleatórios em sistemas rodando IIS. Possuia gatilho de tempo para ataque DoS. A segunda onda de ataque infectou servidores em 14 horas. Código vermelho 2 – Alçapão instalado. Nimda – Mecanismo de múltiplas infecções. SQL Slammer – atacou servidores MS SQL. Sobig.f – ataque abrindo servidores de proxy. Mydoom – inúmeros s de worm + alçapões. A era contemporânea das ameaças de worm começou com a liberação do worm Código vermelho, em julho de 2001. O Código vermelho explorou uma falha de segurança no Microsoft Internet Information Server (IIS) para a penetração e propagação, e também para desabilitar o Verificador de Arquivos do Sistema no Windows. Foram sondados endereços IP aleatórios que espalharam worms para outros hospedeiros, ainda possuíam um gatilho para desencadear um ataque DDoS. Foram quase servidores infectados em 14 horas, e consumidas enormes quantidades de banda da Internet, prejudicando o serviço. Código vermelho 2 foi uma variante que instalou um alçapão, permitindo aos hackers comandar as atividades de um computador alvo. Nimda apareceu no final de 2001 e se espalhou por meio de vários mecanismos: s, compartilhamentos, clientes web, IIS, alçapões do Código vermelho 2. Ele modificava documentos Web e alguns arquivos executáveis e criando numerosas cópias de si mesmo sob diferentes nomes de arquivo. O worm SQL Slammer surgiu no início de 2003, explorando uma vulnerabilidade de estouro de buffer no Microsoft SQL Server. Era extremamente compacto e se espalhava rapidamente, infectando 90% dos hospedeiros vulneráveis dentro de 10 minutos. O worm Sobig.f surgiu np final de 2003, explorando servidores proxy abertos para tranformar máquinas infectadas em máquinas geradoras de spam. No seu auge, atingiu a marca de um em cada 17 mensagens e produziu mais de um milhão de cópias de si próprio dentro das primeiras 24 horas. Mydoom apareceu em 2004 e é um worm de envio pesado de que instalou um alçapão nos computadores infectados. Replicado em até 1000 vezes por minuto, declaradamente inundou a Internet com 100 milhões de mensagens infectadas em 36 horas.

19 Tecnologia do Worm Multi-plataforma. Exploração múltipla.
Propagação ultra-rápida. Polimórfico. Metamórfico. Veículos de transporte. Exploração dia-zero. O cerne da tecnologia worm inclui: • Multiplataforma: não é limitado ao Windows, podendo atacar uma série de Sos, incluindo UNIX. • Multi-exploração: penetra em sistemas usando uma variedade de técnicas. • Ultra-propagação: usando varredura prévia para obter endereços de máquinas vulneráveis. • Polimorfismo: adoptando técnica de vírus polimórficos, para evitar detecção. • Metamorfismo: mudando tanto a aparência quanto o comportamento padrão. • Veículos de transportes: Espalhando ataques distribuídos de diversas ferramentas, como, por exemplo, zumbis. • Exploração do dia-zero: Explorando vulnerabilidades desconhecidas.

20 Contramedidas a Virus Melhor contramedida é a prevenção.
O que em geral, não é possível. Por isso, fazem-se necessários um ou mais: Detecção – dos virus num sistemas infectado. Identificação – do vírus específico. Remoção – restauração do sistema. A solução ideal para a ameaça dos vírus é a prevenção, mas, em geral, isso é impossível de se alcançar. Uma outra boa abordagem é a possibilidade de fazer o seguinte: • Detecção: determinar que a infecção tenha ocorrido e localizar o vírus • Identificação: do vírus específico que tenha infectado um programa. • Remoção: de todos os vestígios do vírus do programa infectado e restaurá-lo ao seu estado original, ou descartar programa infectado e recarregar uma versão limpa de backup.

21 Softwares Anti-Virus Primeira geração Segunda geração Terceira geração
Scanners usando a assinatura do vírus para identificá-lo. Ou uma mudança no tamanho dos programas. Segunda geração Utilizando regras de heurística para encontrar infecções virais. Ou usando o hash de programas para encontrar mudanças. Terceira geração Identificando os vírus pelas suas ações. Quarta geração Pacotes com uma variedade de técnicas anti-vírus. Ex: varredura, Armadilhas e controle de acesso. E a Corrida armamentista continua... Como a corrida armamentista dos vírus evoluiu, ambos os vírus e, os softwares antivírus tem se tornado mais complexos e sofisticados. A seguir, quatro gerações de software antivírus: • Primeira geração: scanners simples usam a assinatura dos vírus para idenficá-los, é limitado a vírus conhecidos, ou usa o comprimento dos programas para detectar possíveis alterações. • Segunda geração: scanners de heurística usam regras de pesquisa para procurar prováveis infecções viróticas, por exemplo, fragmentos de código, ou a utilização do código de hash dos programas para detectar mudanças. • Terceira geração: armadilhas dinâmicas que identificam os vírus pelas suas ações e não pelas suas estruturas. • Quarta geração: proteção multi-caracterizada usando pacotes constituídos por uma variedade de técnicas antivírus utilizadas em conjunto, incluindo escaneamento e atividades de armadilhas dinâmicas. A corrida armamentista continua. Com a quarta geração de pacotes, uma estratégia mais abrangente de defesa é empregada, ampliando as possibilidades de defesa e garantindo medidas de segurança mais efetivas aos computadores de uso geral.

22 Técnicas avançadas de anti-vírus
Decriptografia genérica Usa simulação de CPU para checar programas. Chaca assinatura e comportamento antes de rodar. Sistema imunológico Digital (IBM)‏ Emulação de propósito generalizado e detecção de vírus. Qualquer vírus entrando é capturado, analizado, é criada a detecção/proteção para ele e então é removido. Softwares antivírus, abordagens e produtos mais sofisticados continuam a aparecer, tais como: Decriptação genérica: tecnologia permite que os programa antivírus detectem facilmente até os mais complexos vírus polimórficos, alcançando grandes velocidades de varredura, e usando um simulador de CPU para fazer a varredura das assinaturas de vírus e programas para monitorar seu comportamento antes deles estarem realmente correndo. A questão é o real tempo que eles levam para realizá-lo. O Sistema Imunológico Digital da IBM é uma abordagem global para a proteção contra vírus, fornecendo uma emulação de propósito geral e um sistema de detecção de vírus. Quando um novo vírus entra no sistema, o sistema imunológico automaticamente o captura, analisa, realiza a detecção, a proteção , remoção e transmite informações sobre o vírus aos sistemas executando o IBM Antivírus para que ele possa ser detectado antes que ela seja executada em outro local.

23 Sistema Imunológico Digital
Figura 19.4 do Stallings ilustra os passos típicos do funcionamento do sistema imunológico digital: 1. Um programa de monitoramento em cada PC utiliza uma variedade de heurísticas baseadas no comportamento do sistema, alterações suspeitas em programas, ou assinatura de família para inferir que um vírus pode estar presente, e encaminha programas infectados para uma máquina administrativa 2. A máquina administrativa criptografa a amostra e a envia para uma máquina central de análise de vírus. 3. Esta máquina cria um ambiente em que o programa infectado pode rodar com segurança e assim executar a análise, produzindo uma receita para a identificação e remoção do vírus. 4. A receita resultante é enviada de volta para a máquina administrativa 5. A máquina administrativa repassa a receita para o cliente infectado. 6. A receita também é transmitida a outros clientes na sistema. 7. Assinantes em todo o mundo recebem as atualizações regulares que irão protegê-los dos novos vírus.

24 Software de bloqueamento
Integrado com o sistema operacional do usuario. Monitoramento de programas em tempo real. Ex: Acesso a arquivos, formatação de disco, executáveis, mudanças na configuração do sistema, acesso a rede... Para possíveis ações maliciosas Se detectado pode bloquear, terminar ou procurar desinfectado. Tem vantagem sobre scanners. Código malicioso roda antes da detecção. O software de comportamento de bloqueio é integrado ao sistema operacional de um computador host e a programas de monitoração de ações maliciosas em tempo-real. E bloqueia ações maliciosas antes que elas tenham uma chance de afetar o sistema. Podem-se monitorar os seguintes comportamentos: • Tentativas para abrir, visualizar, apagar e / ou modificar arquivos • Tentativas para formatar discos rígidos e outras operações de disco irrecuperáveis. • As alterações na lógica de arquivos executáveis ou de macros. • Modificações críticas em configurações do sistema, tais como definições de inicialização. • Scripts de e mensagens instantâneas de clientes que enviam conteúdo executável • Início de comunicações de rede. Se o comportamento bloqueador detecta que um programa está iniciando um comportamento possivelmente malicioso, assim que é executado, ele pode bloquear este comportamento em tempo real e / ou denunciar o software agressor. O comportamento bloqueador tem uma vantagem fundamental sobre as técnicas antivirus já estabelecidas, uma vez que pode interceptar todas as requisições suspeitas, e podem identificar e bloquear ações maliciosas independentemente da forma como a lógica do programa estiver obscurecida. Mas isto significa que o código malicioso deve estar efetivamente executando na máquina alvo antes que todos os seus comportamentos possam ser identificados.

25 Ataques distribuidos de negação de serviço (DDoS)‏
Ataques distribuidos de negação de serviço (DDoS) são ameaças significativas a segurança. Tornando indisponíveis sistemas baseados em rede. Quebrando (derrubando) sistemas de redes. Inundando a rede com tráfego inútil. Usando um grande número de zumbis. Sofisticação crescente dos ataques. Batalha das tecnologias de defesa para fazer frente. Ataques distribuídos de negação de serviço (DDoS) apresentam uma ameaça significativa para a segurança das empresas, e a ameaça parece estar crescendo. Ataques DDoS tornam os sistemas de informação inacessíveis inundando servidores, redes, ou mesmo sistemas de usuários finais com tráfego inútil, de modo que usuários legítimos que não podem mais ter acesso a esses recursos. Num típico ataque DDoS, um grande número de hospedeiros comprometidos (zumbis) são acumulados para enviar pacotes inúteis. Nos últimos anos, os métodos e ferramentas de ataque se tornaram mais sofisticados, eficazes, e mais difíceis de se ratrear até os reais atacantes, enquanto a tecnologias de defesa não têm sido capazes de resistir a ataques de grande escala.

26 Ataques distribuídos de negação de serviço (DDoS)‏
Um ataque DDoS tem como objectivo consumir os recursos do alvo de forma que ele não possa prestar serviço. Uma forma de classificar os ataques DDoS é em termos do tipo de recurso que é consumido, como os recursos internos de um host no sistema alvo, ou a capacidade de transmissão de dados de uma rede local alvo. Figura19.5a do Stallings mostra um exemplo de um ataque a recurso interno - o ataque SYN floods. O atacante tem controle de múltiplos hosts através da Internet 2. O hosts escravos começam a enviar pacotes TCP / IP SYN (inicialização da sincronia), com informações erradas do endereço IP, de retorno para o objectivo Para cada um desses pacotes, o servidor Web responde com um pacote SYN / ACK (Sincronismo aceito). O servidor Web mantém uma estrutura de dados para cada SYN pedido à espera de uma resposta de retorno e torna-se mais mais lento a medida que o tráfego cresce. Figura 19.5b do Stallings ilustra um exemplo de um ataque que consome recursos de transmissão de dados. O atacante tem controle de múltiplos hosts através da Internet, instruindo-os a enviar pacotes ICMP ECHO objetivando falsos endereços IP para um grupo de hosts que funcionam como refletores Equipamentos na região de roteamento recebem vários pedidos fraudulentos e respondem enviando pacotes de resposta ao eco ao site de destino. O roteador alvo é inundado com pacotes a partir do retorno do site, não sobrando qualquer capacidade de transmissão de dados de tráfego legítimo.

27 Construindo uma rede de ataque DDoS
Precisa infectar um grande número de zumbís. Precisa: Um software para implementar o DDoS ataque. Uma vulnerabilidade desvendada em vários sistemas. Estratégia de escaneamento para achar sistemas vulneráveis. Aleatório, lista de alvos, Topológico, Subrede local, etc... O primeiro passo para um ataque DDoS consiste em o atacante infectar um grande número de máquinas com softwares zumbis que serão utilizados para realizar o ataque. Os ingredientes essenciais são: 1. Software que pode realizar o ataque DDoS, rodando em um grande número de máquinas, ocultos, comunicando com o atacante ou com um gatilho de tempo, e que pode lançar ataque em direção ao alvo pretendido 2. Uma vulnerabilidade em um grande número de sistemas, que muitos administradores e utilizadores do sistema não tenham descoberto. 3. Uma estratégia para a localização de máquinas vulneráveis, conhecida como escaneamento, tais como: • Aleatória: sonda aleatória de endereços IP no range dos endereços IP. • Lista de alvos: utiliza uma longa lista de possíveis máquinas vulneráveis • topológicos: utiliza a informação existente na maquina infectada para encontrar mais hosts. •subrede local : olhar para os alvos na própria rede local.

28 Contramedidas de DDoS Três grandes linhas de defesa
Prevenção & opção do ataque (antes). Detecção & Filtragem do ataque (durante). Investigação da fonte & identificação do ataque (depois). Enorme leque de possibilidades de ataque. Por isso, evolução das contramedidas. Existem três linhas de defesa contra ataques DDoS: • Prevenção e opção do ataque (antes do ataque): para permitir que a vítima sofra tentativas de ataque sem negar serviço a clientes legítimos. • Detecção e filtragem do ataque(durante o ataque): tentativa de detectar ataques assim que eles começam e responder imediatamente, minimizando o impacto dos ataques ao alvo. • Investigação da fonte e identificação (durante e após o ataque): identificar a fonte de ataque para prevenir futuros ataques. O desafio de lidar com os ataques DDoS é o grande número de formas em que eles podem operar, dessa maneira, as contramedidas devem evoluir junto com as ameaças.

29 Resumo Ter considerado Diversos programas maliciosos.
Alçapões, Bombas-lógicas, Cavalos de tróia e Zumbis. Worms. Contramedidas. Ataques distribuídos de negação de serviço. Resumo do Capítulo 19.

Carregar ppt "Criptografia e Segurança em Redes Capítulo 19"

Apresentações semelhantes

Vírus.

Vírus.
Sistemas distribuídos Metas de Projeto Prof. Diovani Milhorim

Sistemas distribuídos Metas de Projeto Prof. Diovani Milhorim
Introdução aos Sistemas de Informações Módulo 6

Introdução aos Sistemas de Informações Módulo 6
Noções de Sistemas Operacionais

Noções de Sistemas Operacionais
Pode ser uma máquina emulada ou uma máquina real na rede.

Pode ser uma máquina emulada ou uma máquina real na rede.
Sistema de Detecção de Intrusão.

Sistema de Detecção de Intrusão.
Exploits Nome:Arlindo Leal Boiça NetoRA: 03019213 Clarice C. Calil MarafiottiRA: 03109485 Rafael Santos RibeiroRA: 03103637 Thiago Y.I.TakahashiRA: 03113800.

Exploits Nome:Arlindo Leal Boiça NetoRA: Clarice C. Calil MarafiottiRA: Rafael Santos RibeiroRA: Thiago Y.I.TakahashiRA:
Prof. Carlos Roberto das Virgens

Prof. Carlos Roberto das Virgens
Vírus Informáticos Programa especial de computador Auto replicam-se

Vírus Informáticos Programa especial de computador Auto replicam-se
Vírus de Computador Bernardo Henz, Diego João Cargnin, Eduardo Speroni, Guilherme Schardong, Lamarck Heinsch, Vinícius Trindade.

Vírus de Computador Bernardo Henz, Diego João Cargnin, Eduardo Speroni, Guilherme Schardong, Lamarck Heinsch, Vinícius Trindade.
Vírus.

Vírus.
SEGURANÇA E AUDITORIA DE SISTEMAS

SEGURANÇA E AUDITORIA DE SISTEMAS
1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.

1 Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.

Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
Interação Cliente Servidor

Interação Cliente Servidor
Criptografia e Segurança em Rede Capítulo 1

Criptografia e Segurança em Rede Capítulo 1
Curso Técnico em Manutenção e Suporte em Informática

Curso Técnico em Manutenção e Suporte em Informática
Curso Técnico em Manutenção e Suporte em Informática

Curso Técnico em Manutenção e Suporte em Informática
Aula 12:Segurança na rede.

Aula 12:Segurança na rede.

Apresentações semelhantes

Anúncios Google