No meu extenso MBA de Gestão de Segurança da Informação, tive a oportunidade de conhecer as diversas táticas para se atacar servidores na internet. Muitos pensam que os ataques somente são executados por pessoas que dominam a tecnologia, que passam altas horas da madrugada mergulhadas em livros sobre segurança, sistemas de proteção e coisas do gênero.
Bem, uma parte posso concordar, as pessoas que realmente “atacam”, sabem o que estão fazendo, e como fazer bem feito. A questão é que, a internet se banalizou um pouco sobre os ataques ocorridos na rede, como o velho e saudoso Backorifice e o Netbus. Mas atualmente, novas técnicas são executadas, diga-se de passagem, técnicas essas que já existiam há anos mas o conhecimento delas se tornou conhecido a pouco tempo.
Uma dessas técnicas que me chamou a atenção foi o ataque por SYN FLOOD DOS, ou seja, enviar vários pacotes de SYN, e reservar recursos do servidor alvo sem terminar o processo de conexão, conhecido no protocolo tcp de Three Hand Shake. Normalmente, quando queremos enviar um e-mail para um destinatário, o nosso servidor de e-mail (SMTP) envia um pacote de SYN para o servidor de e-mail do destinatário, que responde ao servidor remetende um ack do syn, respondendo que recebeu o pacote com o ack e assim, informando que ele está apto para efetuar a conexão. Então, o servidor remetente, devolve como resposta, uma resposta do Ack, respondendo com um Sync + Ack.
O ataque de Flood de SYN se refere na seguinte etapa. Para que a conexão realmente seja efetivada, tem que ser realizada essas três etapas descritas acima, e somente assim, é que os servidores começarão a transmitir os dados. A questão é que o ataque de SYN FLOOD consiste em enviar um pacote ACK ao servidor destino, e esse responde com um ACK, mas o remetente não envia um pacote de resposta ao ACK, e assim, o servidor destino fica reservando recursos como memória e ciclo de CPU aguardando o pacote de resposta ao ACK enviado, que nunca vai chegar.
Imagina agora milhares de pacotes de SYN sendo enviados por segundo ao sevidor destinatário, sem terminar o processo de envio dos pacotes de SYN + ACK. Para cada pacote de SYN chegando, o servidor irá separar recursos da máquina esperando por uma confirmação que nunca chegará. Assim, vai chegar um momento em que o servidor destino vai alocar tanto recursos que não conseguirá mais separar espaço em memória, e aí, o servidor irá travar ou desativar os serviços.
Pronto, o ataque está concretizado. O objetivo dessa técnica é executar o DOS, que é a negação de serviço. Mais informações detalhadas de como proceder e as ferramentas usadas em um ataque de FLOOD SYNC DOS, pode ser lida em http://www.niksula.hut.fi/~dforsber/synflood/result.html.
Roney Médice
Analista de Sistemas e Bacharel em Direito
Roney Médice 
Muito interessante a matéria, bem escrita e esclarecida. Agradeço pelas informações!
CurtirCurtir