Este é o terceiro artigo da série ENTENDENDO A INTERNET. No artigo anterior eu escrevi sobre Proxy e sobre como ele pode ser usado para “camuflar” uma máquina na Internet. Desta vez vamos falar de máquinas zumbis, ataques à servidores e bot-nets.

Série: ENTENDENDO A INTERNET
Parte: 3
Artigo: Bot-Nets ou redes de máquinas zumbis.

As botnets ou bot-nets, são redes de máquinas comuns (como as nossas) que foram infectadas com um tipo de vírus que permite ao hacker controlá-las através da máquina dele. Estas máquinas usadas nas botnets também são conhecidas como “máquinas zumbis”. Elas podem ser infectadas através dos mais variados processos: links infectados, sites preparados para explorar furos de segurança, emails contaminados, programas, etc… Exatamente como qualquer outro vírus infecta qualquer outra máquina.

As máquinas zumbis são usadas em um tipo de ataque chamado DDoS (Distributed Denial of Service - Negação de serviço distribuída). “Negação de Serviço” é um termo que caracteriza um tipo de ataque que visa deixar uma máquina (em geral um servidor) ou até mesmo uma rede inteira sem funcionar. O “distribuída” se refere ao fato de que o ataque parte de várias máquinas zumbis - em alguns casos os ataques chegam a usar milhares de pcs-zumbis. Vamos ver melhor como isso funciona.

1. Máquinas zumbis

Como eu mencionei antes, elas podem ser infectadas através de diversas formas. Após serem infectadas as máquinas enviam um sinal para o hacker avisando que estão funcionando, geralmente este sinal é enviado para algum canal de IRC determinado pelo hacker. Assim sendo ele pode monitorar a quantidade de máquinas que estão ativas no seu “exército”.

As máquinas zumbis são a frente de ataque do DDoS, por trás delas ainda temos máquinas que ficam conhecidas como “mestres” ou “masters”. O hacker se comunica com os mestres e os mestres enviam o comando para as máquinas zumbis dispararem o ataque (veja o diagrama no final deste artigo).

2. O ataque de DDoS

Quando o hacker acha que já possui um número suficiente de máquinas ativas para o ataque ele ordena aos “mestres” que façam as “máquinas zumbis” enviarem pacotes de dados mal formados para a maquina alvo do ataque. Estes pacotes de dados vão se acumulando na pilha de processamento da máquina alvo e começam a fazer a máquina travar, pois ela não consegue processar aquelas informações mal formadas. Como o volume de informações chegando é constante a máquina sofre um processo chamado de “stack overflow” ou “buffer overflow” - estouros de pilha de processamento e de memória. Isso faz com que a máquina reinicie. Ao voltar a máquina continua recebendo pacotes de dados das máquinas zumbis, o resultado é outro estouro de pilha. A máquina entra em um loop constante de reboot, e só vai parar de reiniciar quando os ataques cessarem. Ataques assim podem durar dias…

Outra função destes ataques é injetar códigos na pilha de processamento da máquina alvo, fazendo com que estes códigos maliciosos sejam executados quando a máquina reiniciar. Neste caso a função é obter algum tipo de controle sobre a máquina alvo.

Felizmente existem soluções baseadas em firewalls, patches de correção, etc, que já são capazes de reduzir o efeito destes ataques ou mesmo anulá-los.

Ataques deste tipo são parentes evoluídos de ataques antigos, conhecidos como “ataques de flood”, que afetaram máquinas com Windows 95 há anos atrás.

3. O Atacante

O atacante se mantém oculto atrás das máquinas mestres e das zumbis que efetuam os ataques. Uma perícia poderá encontrar com relativa falicidade estas máquinas zumbis, mas raramente os atacantes por trás das máquinas mestres são localizados.

4. Esquema visual do ataque de DDoS

5. Mais informações técnicas

Outras informações, inclusive com teor mais técnico podem ser encontradas neste site.

Este artigo acaba aqui. Continuem acompanhando esta série. Ainda não defini o tema do próximo texto, mas em breve teremos novidades.

Artigos anteriores:

- Parte 1: IP e o rastreamento de micros na web
- Parte 2: Proxy, escondendo seu IP