gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Smurf usando serviços UDP
Contribuído por joao em 23-01-03 14:14
do departamento vulnerabilidades
Teenagers com demasiado tempo livre... Eraser escreve "Viva!

Como já é sabido a cada dia que passa protocolos e serviços defenidos para uma internet aberta acabam por ser abusados para fins menos nobres. Neste caso refiro-me em especial a alguns serviços a utilizarem UDP que já eram conhecidos/utilizados no underground para DDoS e que agora parecem estar a vir ao grande público. Um exemplo é utilização de servidores de jogos que utilizem o GameSpy. Conforme noticiado PTNix e também aqui .

A pergunta que fica é: "Com que velocidade a internet vai ser capaz de reagir a este problema?". Os possíveis serviços capazes de serem abusados parecem ser mais que muitos. Infelizmente, acho que é só uma questão de dias até sair mais uma ferramenta "point&click" para fazer DDoS utilizando esses mesmos serviços. Pior ainda, é o facto de isto já ser conhecido a algum tempo mas tipicamente as medidas só são tomadas depois de alguém ter saido prejudicado.

Venham daí esses bitaites! E não percam os próximos episódisos porque....Já sabem o resto! ;)

Fiquem bem! Eraser "

Tribunal: ISPs têm de ajudar discográficas | Acordo entre a BitStream e o Gnome  >

 

gildot Login
Login:

Password:

Referências
  • PTNix
  • aqui
  • Mais acerca Teenagers com demasiado tempo livre...
  • Também por joao
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Firewalls. (Pontos:2)
    por leitao em 23-01-03 14:56 GMT (#1)
    (Utilizador Info) http://scaletrix.com/nuno/
    A pergunta que fica é: "Com que velocidade a internet vai ser capaz de reagir a este problema?".

    Firewalls ?


    "Arguing on the Internet is like running in the Special Olympics -- Even if you win you're still retarded."

    Re:Firewalls. (Pontos:2)
    por Eraser em 23-01-03 15:56 GMT (#2)
    (Utilizador Info)
    Boas, Leitão!

    Firewalls não me parecem resolver o problema. Os pedidos são genuínos mas com o ip "spoofed". Estamos a falar de uma utilização normal ou seja o servidor não tem como saber que o ip foi manipulado. O facto de serem serviços a utilizarem udp torna demasiado fácil fazer com que o pedido pareça genuíno.

    Esta é a minha opinião mas se calhar estou enganado ou estou-me a esquecer de alguma coisa. Podes explicar melhor isso de utilizar firewalls para impedir que um servidor responda a um pedido normal mas "spoofed"?

    Fica bem!
    JP
    Re:Firewalls. (Pontos:2)
    por leitao em 23-01-03 16:30 GMT (#3)
    (Utilizador Info) http://scaletrix.com/nuno/
    Esta é a minha opinião mas se calhar estou enganado ou estou-me a esquecer de alguma coisa. Podes explicar melhor isso de utilizar firewalls para impedir que um servidor responda a um pedido normal mas "spoofed"?

    O que quero dizer e' que exactamente por os servicos serem baseados em UDP, torna-se dificil fazer DOS. Por exemplo, qualquer farm de web-hosting tem uma firewall 'a frente que impede todo e qualquer trafego senao TCP/80/443 de passar.

    i.e., ficas restrito a fazer DOS de servidores de jogos a correr UDP... o que nao e' necessariamente grave :-)


    "Arguing on the Internet is like running in the Special Olympics -- Even if you win you're still retarded."

    Re:Firewalls. (Pontos:4, Informativo)
    por Eraser em 23-01-03 16:56 GMT (#4)
    (Utilizador Info)

    O problema continua a existir já que uma pequena quantidade de dados pode dar origem a uma grande quantidade de dados. Por outras palavras, a largura de banda é um recurso limitadoe precioso. A firewall pode fazer drop de pacotes mas se a largura de banda ficar esgotada existe DOS.

    Acho que as medidas que mais poderiam ajudar a controlar este possível problema seriam:

    - Do lado dos serviços udp utilizados para causar o DOS, se garantissem algum tipo de handshake (a nível aplicacional, por exemplo) dificultavam muito a utilização dos seus serviços para fins indevidos.

    - do lado dos alvos minizar os pacotes permitidos ao únicos refentes ao serviços que estão a fornecer (conforme referiste).

    - do lado dos ISPs pode se impedir que pacotes que venham da rede deles mas com ip de outra rede possam seguir para o resto da internet. Isto permite controlar e dimuir um pouco o spoofing mas não acaba completamente com ele.

    Mais uma vez é só a minha opinião. Posso não estar a ver "the big picture".

    Fica bem!
    JP

    Re:Firewalls. (Pontos:2)
    por leitao em 23-01-03 17:07 GMT (#5)
    (Utilizador Info) http://scaletrix.com/nuno/
    Mais uma vez é só a minha opinião. Posso não estar a ver "the big picture".

    Nope -- estas perfeitamente correcto :-)


    "Arguing on the Internet is like running in the Special Olympics -- Even if you win you're still retarded."

    Re:Firewalls. (Pontos:2)
    por racme em 24-01-03 1:46 GMT (#6)
    (Utilizador Info) http://rmitz.org/freebsd.daemon.html
    nada que um drop by inactivity na parte do servidor de jogo nao resolva


    B0rn to frag!
    ph34r da powa of da daemon =)
    Re:Firewalls. (Pontos:2)
    por bgravato em 24-01-03 4:28 GMT (#7)
    (Utilizador Info)
    Conheço alguns ISP's que há muito que têm essa política de "barrar" a saída de pacotes que não tenham um [endereço] ip "dos seus" para o exterior...

    Se todos os ISP's optassem por esta política, só seria possível fazer esse tipo de DoS a alguem a usar o mesmo ISP...

    Actualmente não faço ideia quantos ISP's nacionais são adeptos desta política.

    Cumprimentos,
    Bruno Gravato.

     

     

    [ Topo | FAQ | Editores | Contacto ]