Ataque distribuído de negação de serviço por reflexão amplificada usando Simple Network Management Protocol

Abstract

Ataques de negação de serviço existem na internet a muitos anos. Sua principal finalidade é exaurir os recursos de uma vítima impedindo que ela disponibilize os seus serviços ou utilize outros. Recentemente, negação de serviço pode ser utilizada como uma forma de distração ou cobertura para outros ataques. Devido aos altos prejuízos que empresas sofrem com os ataques, principalmente as que possuem a disponibilidade como um pilar de seus negócios, o seu estudo se mostra cada vez mais importante. Este trabalho apresenta um estudo do ataque distribuído de negação de serviço por amplificação e reflexão usando o Simple Network Management Protocol (SNMP), um protocolo para gerenciamento de redes muito utilizado. A versão do SNMP estudada foi a SNMPv2c, por combinar a fraca segurança, utilizada na versão 1, com o comando GetBulkRequest, adicionado a partir da versão 2 e que é capaz de proporcionar uma amplificação significativa. O estudo foi realizado com o desenvolvimento de uma ferramenta capaz de detectar possíveis refletores e de realizar o ataque em diferentes intensidades. A ferramenta foi desenvolvida nas linguagens de programação Java e C, com uma arquitetura simples e extensível. Sua utilização se dá por uma interface gráfica e comandos simples como a maioria das ferramentas para ataque de negação de serviço encontradas na internet. Foram realizados dois tipos de teste para estudar as características do ataque. O primeiro foi um teste de funcionalidade que analisa as propriedades de reflexão e amplificação. O segundo teste, de performance, verificou a capacidade da ferramenta desenvolvida além da saturação dos dispositivos envolvidos. ____________________________________________________________________________ ABSTRACT

Denial-of-service attacks exist on the internet for many years. Its primary goal is to exhaust a victim resources preventing it from making their own services available or use others. Recently, denial-of-service may be used as a smokescreen for others attacks. Studies about denial-ofservice are important due to the high losses companies suffer, especially those with availability as a pillar of its business. This paper presents a study about the Simple Network Management Protocol (SNMP) reflected amplification distributed denial-of-service. SNMP is a protocol for managing networks and is widely used. The SNMP version studied was SNMPv2c. This version combines the weak security, used in version 1, with the GetBulkRequest command, added in version 2, that is able to provide significant amplification. To better understand the properties of the attack a software was developed. The software was able to detect possible reflectors and to perform the attack with different intensities. Java and C programming languages were used to develop the program. A simple and extensible architecture was used. The program works with an user graphic interface and simple commands like most denial-of-service programs found on the internet. Two types of tests were performed to understand the attack properties. The first one was a functionality test and examined the reflective and amplification property. The second, a performance test, verified the capacity of the developed software and the saturation point of all devices involved. Finally, tests results were analyzed and explained.