Você está aqui
Home > TI Empresarial > Segurança da informação > Tipos de Ataques por Camada – Camada de Transporte

Tipos de Ataques por Camada – Camada de Transporte

Olá amigos,

Dando continuidade a nossa série de artigos, hoje falaremos dos tipos de ataques da camada de transporte.

Recomendo a leitura dos artigos a seguir para manter uma sequencia lógica a respeito dos principais processos de segurança da Informação.

Artigos recomendados:

 

Para manter uma padronização dos nossos artigos usaremos a seguinte estrutura:

1) Estrutura do artigo

  • Introdução;
  • Ataques TCP;
  • Ataques UDP;
  • Ataques de TCP e UDP Port Scan;
  • Bibliografia.
OBS: Dentro de cada tópico que será abordado falaremos a respeito de algumas soluções para se defender dos respectivos ataques.

2) Introdução

A camada de transporte é onde podemos encontrar os protocolos TCP e UDP. O protocolo TCP é o mais complexo por ser dotado de um mecanismo de controle de fluxo e ser orientado a conexão, enquanto o UDP é simples por não conter o controle de fluxo e não necessitar de conexão. Como em outras camadas, existe uma série de ataques envolvendo a manipulação das vulnerabilidades desses protocolos, os quais serão abordados adiante.

3) Ataques TCP

Sendo um protocolo orientado a conexão, uma conexão TCP é estabelecida usando o um three-way handshake. Um invasor pode explorar essa propriedade do protocolo mediante o envio de uma grande quantidade de pacotes SYN enquanto a máquina atacada envia um pacote de sincronização SYNACK e fica aguardando o pacote ACK que não é enviado pelo atacante, desta forma enquanto aguarda a confirmação da conexão a máquina atacada aloca recursos que vão se esgotando com o decorrer do ataque, até que por fim a máquina trava ou reinicia concretizando o objetivo do ataque que é a negação de serviço. Esse tipo de ataque é conhecido como SYN flooding.

 

Os ataques SYN flooding podem ser bem sucedidos quando o computador atacado mantém as conexões parcialmente abertas por no mínimo 75 segundos em uma fila de escuta. A fila possui um tamanho limitado em várias implementações TCP, o que com o excesso de pacotes SYN pode encher a fila causando a indisponibilidade do serviço.
Para resolver esse problema o atual  firewall do Linux oferece a possibilidade de limitar a quantidade de pacotes SYN em um determinado intervalo de tempo.
Outro tipo de ataque que causou bastante estrago e surpreendeu por sua simplicidade foi o ataque Land. O Land é um ataque que quando foi efetivado criou muitos problemas em várias versões do Unix e em todas as versões do Windows, nem mesmo os roteadores Cisco escaparam deste ataque. Ele é realizado usando um pequeno programa escrito em C (land.c) que envia pacotes SYN para um host em uma porta TCP aberta, com endereço e porta de origem falsificados, mas não é qualquer endereço, é o endereço do próprio host que está sendo atacado (por exemplo: pacote enviado para 192.168.5.1 na porta 140, com o endereço de origem deste pacote 192.168.5.1 para porta 140).
Esse tipo de ataque leva à paralisação da máquina, gerando uso de até 100% de CPU, e para resolvê-lo basta instalar um firewall capaz de detectar ataques Land nas estações de trabalho.
Mais um tipo de ataque Man-in-the-Middle que afeta o protocolo TCP é o TCP Connection Hijacking (Desvio de conexão TCP). Um atacante que está entre dois computadores se comunicando via TCP pode se aproveitar para assumir o controle da conexão durante o three-way handshake, ou depois que a conexão é estabelecida através da criação do estado dessincronizado. O estado dessincronizado provoca o descarte de pacotes, e nesse momento o atacante pode injetar pacotes forjados que tenham números de sequência corretos, podendo assim, modificar ou injetar comandos na conexão. Esse tipo de ataque é extremamente difícil de detectar, sendo necessária uma perícia muito grande do administrador para combatê-lo.

4) Ataques UDP

Uma vez que o UDP é um protocolo simples e não orientado a conexão, a única forma que o UDP pode ser afetado é enviando uma grande quantidade de pacotes UDP para portas aleatórias na máquina atacada. Este tipo de ataque é conhecido como UDP Flooding.

 

A máquina atacada tentará determinar para qual aplicação o pacote é destinado, se nenhuma aplicação estiver escutando na porta UDP especificada o pacote será descartado. Ao inundar a máquina da vítima com esses pacotes ele poderá sofrer uma sobrecarga, resultando na falha do sistema.
Para resolver esse problema basta usar o iptables para limitar a quantidade de pacotes em um determinado intervalo de tempo.

5) Ataques de TCP e UDP Port Scan

A varredura de portas é um dos ataques mais conhecidos quando se deseja descobrir serviços vulneráveis, provavelmente é a primeira coisa que o invasor faz ao tentar atacar uma vítima. Usando uma das muitas ferramentas encontradas na Internet (por exemplo: Nmap), um atacante pode descobrir quais portas TCP e UDP estão abertas, para posteriormente explorar as vulnerabilidades.
Para enfrentar esse ataque existem ferramentas IDS (Intrusion Detection System) que auxiliam os administradores a detectar invasores e ferramentas de varredura.

6) Bibliografia

  • GHEORGHE, Lucian. Designing and Implementing Linux Firewalls and Qos using netfilter, iproute2, NAT, and L7-filter. 1. Ed. Birmingham: Packt Publishing, 2006.
  • LEVAJA, Dejan. Windows Server 2003 and XP SP2 LAND attack vulnerability. SecurityFocus, Belgrado, 5 mar. 2005. Disponível em: . Acesso em: 24 Out. 2009.

Espero que gostem de mais essa contribuição para o mundo dos amantes da tecnologia.

Deixe uma resposta

Top