Este artigo pretende ser o trabalho mais completo sobre "Denial of Service attacks" já feito até hoje na língua Portuguesa.
Não vou estar aqui a ensinar a usar os nukers, para isso basta leres o source ou mexeres nos programas.
Qualquer e-mail recebido do tipo "Como uso o teardrop?", "O click não corre no meu Windows95", "Voces podem-me nukar este gajo..."
será completamente ignorado; a tecla D no pine faz milagres :->
Mas se tiveres alguma dúvida menos lame ou se quiseres acrescentar algo... força ai, o meu mail está disponivel.
Este texto não quer dizer que aprovo nukes, bem pelo contrário, "nuking is lame", porque? porque n~so tem nada de especial saberes compilares um programa e saberes as flags. Interessante mesmo é saber como os nukes funcam e estar rotegidos deles.
Os nukes "estão na moda": Terravista e AEIOU, foram apenas alguns dos sites que estiveram em baixo devido ao uso do teardrop e derivados; é frequente no IRC veres pessoal a cair com a mensagem de PIG TIMEOUT e derivados, quase sempre sinonimo de que essa pessoa foi nukada.
Mas afinal o que é DoS ou nuking?
"Denial of Service" ou "nuke" são termos usados para descrever um tipo de ataque contra computadores
que estão ligados à Net, causando a disconexão, o crash ou a lentidão da ligação e/ou computador.
A seguir vou tentar descrever resumidamente cada um dos nukes:
ICMP FLOOD
Tambem conhecido por ping flood, afecta todos os modems e servers ligados.
Os simptomas são as lights do modem a "endoidecerem", e a conexão à Net fica muito lenta, passado alguns segundos a ligação vai abaixo.
Não existem patches possiveis, visto que este ataque exploita a baixa capacidade de um modem. A única solução é instalar uma firewall para proteger destes ataques.
Aqui fica um exemplo de um programa pra Windows95: ICMP BOMBER
WInNuke
Tambem conhecido por "Windows OOB bug", afecta o Windows 95, 3.11 e NT.
O "Blue Screen é o simptoma" deste ataque. É necessário fazer um reboot pra recuperar do ataque.
Os patches para este ataque são bastantes simples, podes encontrar mais info sobre isso:
Exemplo de um Winnuker: winnuke.exe
SSPING aka Ping of Death
Tambem conhecido por jolt, SPING, ICMP Bug, IceNewk. Afecta Windows 95, Windows NT, Solaris (x86), MacOs 7.x.x, Linux com kernel's mais antigos que 2.0.23, e muitos, muitos outros.
Este ataque tem variadas consequencias conforme o SO afectado, mas o mais comum é o crash completo do computador.
Aqui fica um excerto tirado da "The Ping o'Death Page":
"An ICMP ECHO request "lives" inside the IP packet, consisting of eight octets of ICMP header information (RFC-792) followed by the number of data octets in the "ping" request. Hence the maximum allowable size of the data area is 65535 - 20 - 8 = 65507 octets.
What causes my machine to crash from this?
Note that it is possible to send an illegal echo packet with more than 65507 octets of data due to the way the fragmentation is performed. The fragmentation relies on an offset value in each fragment to determine where the individual fragment goes upon reassembly. Thus on the last fragment, it is possible to combine a valid offset with a suitable fragment size such that (offset + size) > 65535. Since typical machines don't process the packet until they have all fragments and have tried to reassemble it, there is the possibility for overflow of 16 bit internal variables, which can lead to system crashes, reboots, kernel dumps and the like."
Existem patches para quase todos os SO's afectados por este DoS ataque, e como os são imensos, não vou estar aqui a descrever-los a todos, fica o URL da page:
É bastante facil executar este ataque, basta ires a DOS e escreveres:
Click
Tambem conhecido por ICMP nuke, ICMP_UNREACHABLEm WinNewk.
Este ataque pode ser usado para atacar qualquer ligação TCP sem filtragem, por isso qualquer maquina "desprotegida" pode ser atacada.
Os simptomas deste ataque são a disconexão do server IRC. Não necessita de reboot e a ligação continua.
Users que estejam em Windows ao cair costumam ter uma das seguintes quit messages:
Não existe patches para o Windows para este tipo de ataque a não ser se se instalar uma firewall.
Quem usar Unix / Linux pode instalar alguns patches ou alterar o source do Kernel, ou usare o tcpdumo para monotorizar as ligações.
Teardrop
Tambem conhecido por tear ou "TCP/IP fragment bug".
Afecta o Windows 3.11 / 95 / NT e Linux com kernels anteriores a 2.0.32 / 2.1.63
Os simptomas é o crash da maquina ou o reboot.
Este "DoS Attack" explora a vulnerabilidade no protocolo TCP/IP. Algumas implementações do "TCP/IP fragmentation re-assembly code" não aguentam "overlaping IP fragmentation".
Patches para windows:
O código deste DoS encontra-se aqui:
Land
Afecta Windows 3.11 / 95 / NT e outros. Alguns ciscos tambem são vlneraveis a este Dos Ataque, entre outros encontram-se IOS/700, CATALYST 5xxx e 29xx, etc..
O computador alvo deste ataque "congela" e crasha.
O sucesso deste ataque deve-se a quem algumas implementações do TCP/IP são vulneráveis a pacotes que são "inseridos" numa determinada maneira (um SYN packet em que a adress origem e a port são as mesmas que o destinatário - i.e. spoofed).
Um "workaround" para este ataque é bloquear todos os pacotes de IP spoofados.
Para o Windows 95 podes encontrar o patch em:
Os códigos deste DoS encontra-se aqui:
bonk
Tambem conhecido por newtear.
Afecta Windows 95 e NT.
Depois do ataque, os computadores "congelam" e crasham, pode não aparecer o "blue screen".
Este ataque é uma versãomodificada do teardrop.
Segundo a Microsoft:
"Description of the Issue
This issue is a modified version of an attack that appeared on the Internet a few months ago called "teardrop."
This new issue is caused by a problem with the way the Microsoft TCP/IP stack handles certain exceptions caused
by misformed UDP header information. This situation does not occur in properly formed TCP/IP packets and must
be generated by a program with malicious intent.
When Windows NT or Windows 95 receives one of these misformed UDP packets, it will cause either operating system to crash. However, it does not in any way compromise the privacy of user data. It is unclear if there are any other environments that might also be affected by this issue."
Patches encontram-se disponiveis em:
Ok, depois de dadas as descrições, simptomas, patches e tudo o resto, só falta dizer de como se podem proteger de quase todos estes nukes e de nukes que sejam inventados futuramente.
Os utilizadores de Unix / linux podem estar + ou - descansados porque os patches costumam ser rápidos e bastante eficazes, mas pelo sim e pelo não, uma firewall é uma boa solução.
Para os utilizadores de Windows, não há muito que se lhe diga. Ou instalam uma firewall ou então esperam pelos patches oficiais da Microsoft.
Firewall em Win95?
Sim, de facto exsitem duis programas de firewall's no mercado:
Sem querer entrar em detalhes destas duas pseudo-firewall's, só quero dizer que pessoalmete gostei mais da Conseal, ... manias.
Depois disto tudo espero que sejam menor o número de pessoas a cair devido a nukes :->