1) Explique o que é um ataque de negação de serviço.
Resposta:
São ataques a computadores com o objetivo de torná-los inacessíveis para outros usuários. Normalmente o ataque se dá através do consumo total dos recursos (banda, memória etc) do alvo.
2) Em que consiste um ataque por inundação SYN?
Resposta:
- O atacante envia pacotes SYN ao alvo a partir de um endereço IP mascarado a fim de estabelecer diversas novas conexões
- O alvo responde enviando um pacote SYN-ACK para cada pacote SYN recebido e espera um pacote ACK como resposta;
- Os pacotes ACK esperados nunca são recebidos pelo alvo;
- A memória do alvo é completamente alocada, impedindo novas conexões, inclusive legítimas.
3) Qual é a estrutura de um ataque distribuído de negação de serviço e quais suas vantagens em relação a ataques não-distribuídos?
Resposta:
Um DDoS consiste em um atacante e uma botnet, estabelecida pelo mesmo por meio do uso de alguma ferramenta adequada.
Essa botnet é formada por masters, controlados diretamente pelo atacante, e daemons, controlados indiretamente pelo atacante
por meio dos masters. Os daemons são quem realmente executam o ataque em si.
As vantagens de um DDoS são a maior facilidade para gerar um tráfego de ataque mais intenso e a maior dificuldade para o alvo anular o ataque.
4) Apresente os conceitos básicos do funcionamento do mecanismo SYN Cookies.
Resposta:
- O iniciador envia um pacote SYN ao ouvinte para estabelecer uma conexão;
- O ouvinte responde enviando um pacote SYN+ACK e um cookie. O cookie é calculado através de técnicas criptográficas envolvendo diversas informações;
- O pacote SYN originalmente enviado pelo iniciador é descartado;
- Para que a conexão seja estabelecida, o iniciador deve responder enviando um ACK com o número de sequência cookie+1. Caso contrário, a conexão não é estabelecida e os recursos não são alocados pelo servidor.
5) Explique o conceito de Blackholing.
Resposta:
Blackholing é uma técnica de defesa que consiste em bloquear todo o tráfego direcionado a um servidor, redirecionando o tráfego a um "buraco negro" onde será descartado. Porém, esta não é uma técnica muito adequada, já que todo tipo de tráfego será bloqueado - tanto o do atacante quanto o do usuário legítimo.