Suponha que você seja o segurança de rede da sua empresa, e todos os usuários reclamam que a conexão com a internet toda hora cai… Você, talvez como quase todos os gerentes de segurança em rede irá tentar resetar o modem da empresa. Porem, depois de resetar o modem, acontece novamente o problema dos usuários reclamarem… Daí, vem a pergunta… Como identificar uma possível DDOS( denial of service – negação de serviço)?
Existem muitas ferramentas que ajudam a voce identificar esse ataque.. Vou dar um belo exemplo usando o wireshark(Ethereal).
O Wireshark é uma ferramenta que verifica os pacotes transmitidos pelo dispositivo de comunicação (placa de rede, placa de fax modem, etc) do computador. O objetivo deste software, também conhecido como sniffer, é detectar problemas de rede, conexões suspeitas, auxiliar no desenvolvimento de aplicativos e qualquer outra atividade relacionada a rede.
Você pode baixa-lo no link abaixo:
http://www.baixaki.com.br/download/wireshark.htm
Abra o wireshark e ative o capturador de pacotes
Depois disso, basta começar a ver os pacotes trafegando na rede. No caso, do teste onde eu mesmo estava manejando duas maquinas.
1º Maquina é o atacante
2º Maquina do segurança
Na maquina do atacante deu um broatcast em toda rede, fazendo com que a mesma fique lenta e conseqüentemente perderia a conexão com a internet de todos os computadores da rede.
Na maquina do segurança, eu usei o wireshark para identificar quem era o autor de toda aquela bagunça.
Veja na imagem:
Na hora que eu comecei a capturar pacotes com o wireshark, então percebi que o ip 192.168.1.3 estava mandando pacotes para toda a rede(broadcast).
Repare que na ultima coluna chamada “Info”, tem algumas informações…
Who hás 192.168.1.45? tell 192.168.1.3
O ip que está depois da palavra “tell” é o atacante(192.168.1.3) e o ip que esta depois do “Who hás” é o alvo.
Neste caso, todas as maquinas estavam sendo os alvos… repare que todas as linhas tem um ip diferente, Neste caso o atacante está atacando toda a rede, por isso que a internet de todos esta caindo.
Para acabar com este problema de broadcast, basta você adquirir um roteador ou switch gerenciável, e configurá-lo para recusar broadcast em excesso em toda a rede.
Depois de descobrir o ip do autor de quem está fazendo a zona na rede, basta ir ao individuo de bater na cara dele e depois cuspir no computador dele…kkkkkkkkkkkkkk
Brincadeira… Tome as decisões de acordo com a política de segurança da empresa onde você trabalha.
Nenhum comentário:
Postar um comentário