A CIÊNCIA DA COMPUTAÇÃO

         Importância do uso de um IDS em ambientes suscetíveis a ataques DDoS

Anderson Feitoza Lima

Dept. Ciência da Computação

Faculdade Estácio de Teresina

Teresina, Brasil

anderson.feitoza.l@gmail.com

Alysson Ramirez de Freitas Santos

Dept. Ciência da Computação

Faculdade Estácio de Teresina

Teresina, Brasil

alyssonramirez@gmail.com

Mayke de Sampaio Araújo

Dept. Ciência da Computação

Faculdade Estácio de Teresina

Teresina, Brasil

maykebdc76@gmail.com

Resumo — Os crimes ciberneticos são uma verdadeira ameaça na internet. Um tipo de ameaça comum são os ataques de negação de serviço distribuído (DDoS). O ataque de negação de serviço visa inutilizar os recursos de uma máquina, servidor ou sistema. Uma vez que sua variedade de tipos e métodos é extensa, as dificuldades de detectar e lidar são altas. Como tais investidas podem acontecer a qualquer minuto do dia, o uso de um sistema de detecção de intrusão (IDS) é imprescidível e primordial. Este artigo propõe uma forma efetiva e ágil de combater ataques DDoS utilizando a ferramenta de sistema de detecção de intrusão: Prelude-IDS. A partir da análise de vulnerabilidade feita com o Zenmap, foram feitos alguns ataques do tipo Syn Flood em ambientes virtuais preparados especialmente para receber os ataques. A eficácia das ferramentas IDS serão testadas. Através dos relatórios dos ataques, realizou-se um comparativo das duas ferramentas atacantes propostas utilizando as métricas pré-estabelecidas. Com base nas informações obtidas, foi proposto medidas de segurança que auxiliem o usuário a ter um posicionamento eficaz contra essas investidas criminosas.

Palavras-chave — Crimes cibernéticos; Segurança da Informação; Ataques DDoS; IDS;

1.  Introdução

A evolução da sociedade da informação trouxe consigo um problema inevitável, a dependência de comunicação. As redes de computadores evoluíram bastante nos últimos anos. Desta forma, na mesma proporção com que as tecnologias evoluem, ameaças surgem em paralelo. Ameaças na sua grande maioria, visam a apropriação ilícita de dados para fins lucrativos. Para combater essas práticas maliciosas utiliza-se a segurança da informação.

Os ataques DDoS (Distributed Denial of Service) apresentam um crescimento [1] nos últimos anos. Tais ataques são realizados com a distribuição de pacotes e requisições a um determinado alvo, causando sobrecarga, ocasionando instabilidade, lentidão ou queda de determinados serviços ou recursos de servidores e computadores [1].

Inicialmente os ataques de negação de serviço eram conhecidos por “DoS” [2]. O DoS tem como principal objetivo sobrecarregar e tornar indisponíveis os recursos de um sistema (Geralmente servidores) [2]. A distribuição de pacotes pela internet utilizando DDoS nada mais é que o resultado de se conjugar os dois conceitos: negação de serviço e intrusão distribuída. Os ataques DDoS podem ser definidos como ataques DoS diferentes, partindo de várias origens, disparados simultânea e coordenadamente sobre um ou mais alvos [3].

Os atacantes, inicialmente, eram hackers que, em sua grande maioria, não tinham um objetivo específico para realizar essa investida, apenas queriam mostrar que aquele serviço (site) não possuía segurança inquebrável. Comumente os ataques de negação de serviço são motivados por vandalismo, hacktivismo, extorsão de dinheiro, questões políticas, etc [1].

Com o avanço da tecnologia, os ataques tornaram-se cada vez mais sofisticados e inovadores. Novos tipos, métodos e meios são criados todos os dias. No primeiro semestre de 2018, os ataques DDoS mais utilizados foram: SYN, UDP, TCP, seguidos pelos menos utilizados, HTTP e ICMP. Os ambientes mais atacados foram Linux e Windows com 66,49% e 33,51%  dos ataques, respectivamente [4].

A constante dinamicidade das formas com que um ataque DDoS é ministrado impossibilita, na maioria dos casos, a antecipação do mesmo. A diligência e o rastreamento estabelecem operações de dificuldade elevada. Como os ataques procuram tornar inutilizáveis os recursos de um sistema para seus usuários, é primordial que esses ataques sejam detectados precisamente e com alto grau de prontidão, para que o dano causado seja minimizado. Nesse cenário, surge o questionamento: Como se pode aumentar a segurança do fluxo de dados em uma rede?

Para responder esse questionamento, surgem os primeiros IDS (Sistemas de Detecção de Intruso). Eles têm o objetivo de monitorar e filtrar o fluxo de uma rede com o intuito de detectar atividades anômalas e suspeitas. Trabalhando em harmonia com um firewall, o IDS é algo vital para a segurança de serviços e sistemas onde há um grande tráfego de informações.

Com base nisso, é de extrema importância saber como um ataque é orquestrado para criar métodos de detecção precisos e ágeis. Sendo assim, uma das formas de lidar com essas investidas é através do monitoramento do uso dos recursos do sistema com as ferramentas de Sistema de Detecção de Intrusão (Prelude – IDS, por exemplo), e ferramentas de varredura do tráfego de rede (Nmap e Wireshark, por exemplo). Ambas as ferramentas são de código aberto, o que facilita o manuseio e torna viável a pesquisa.

1. Fundamentação teórica

A preocupação das pessoas com seus dados é um reflexo da sociedade da informação atual. A sociedade evoluiu tanto a ponto de que a dependência de aparelhos conectados à internet está presente no cotidiano de todos. Essa cultura está enraizada no ser humano. Paralelamente a essa necessidade, as ameaças na internet também evoluíram na mesma proporção.

Como exibido no gráfico a seguir (Fig.1), é demonstrado os variados tipos de ataques que ocorreram no ano passado [5]. Dentre os ataques mais frequentes, destaca-se o ataque DDoS.

[pic 1]

1. Percentual de tipos de ataques reportados ao CERT.br em 2017 [5].

Segundo Noureldien [6], um ataque DDoS tem o objetivo principal de eliminar ou tornar indisponível a disponibilidade de recursos ou serviços para o usuário.

1. Ataque distrubuído de negação de serviço

 Esse tipo de ataque consiste em sobrecarregar a rede de um determinado alvo, especialmente servidores e provedores, fazendo e refazendo pedidos (requisições) de pacotes de dados de alto valor inundando a rede, tornando-os inutilizáveis ao usuário (clientes). Estes podem ser de diversos tipos [7].

Os primeiros registros de ataques de negação de serviços na literatura foram registrados em 1974. Sua nomenclatura foi definida por “DOS” [8]. O que difere o “DOS” dos ataques DDoS atuais é que eles eram feitos utilizando apenas máquina para invadir o sistema atacado. O DDoS teve seu primeiro registro em 1999 e utiliza o conceito de várias máquinas que são usadas para congestionar mais rapidamente e eficientemente a rede atacada [7]. A partir do ano 2000, a criação de novas formas e tipos genuínos de DDoS foram surgindo e sendo subdivididas em tipos [8]. Cada um obviamente tendo seu diferencial e forma de ação singular.

...