-
DRDos - Distributed Reflexion Denial of ServiceEle baseia-se em uma falha de design do TCP/IP, o spoofing.O grande potencial do ataque DRDos esta nas seguintes caracteristicas:Quando um cliente envia para um servidor um pacote SYN, o servidor tenta responder com um SYN/ACK, caso seu servi?o esteja avali?vel.Se este pacote nao chegar ao destino, ele reenviar o mesmo algumas vezes, pois este pacote pode ter sido perdido no meio do caminho.Na maioria das implementacoes, essa repeticaoo representa o envio do pacote quatro vezes.O ataque ocorre nesta repeticao, pois isso vai multiplicando-se a medida que os servidores respondem.Fonte: http://jaccon.com.br/2004/05/entendendo-os-ataques-ddos-e-drdos/
-
Segue um link bem exlicativo para esta questão:http://www.inf.ufsc.br/~bosco/ensino/ine5630/material-seg-redes/Cap11-DDoS.pdf
-
DRDoS
No DRDoS (Distributed Reflection Denial of Service), vários hosts são usados para enviar pacotes TCP/SYN, contendo o endereço de origem do host alvo (IP Spoofing), para servidores de broadcast, que, ao responderem, inundam o host alvo com um grande número de pacotes SYN/ACK.
Resposta: Letra A.
-
O ddos-reflection ou DRDOS é um ataque que usa o SYN-ACK como forma de ataque. Bem mais devastador que o DDOS tradicioinal, que faz uso de ICMP echo request ou SYN Flooding. Vale a leitura do link abaixo:
http://palisade.plynt.com/issues/2006Apr/ddos-reflection/
-
Segundo o livro "Segurança de Redes em Ambientes Cooperativos - Nakamura/Geus - 2ª edição - página 103", Os ataques de negação de serviços (denial-of-Service Attack - DoS) fazem com que recursos sejam explorados de maneira agressiva, de modo que usuários legítimos ficam impossibilitados de utilizá-los. Uma técnica típica é o SYN flooding, que causa o overflow da pilha de memória por meio do envio de um grande número de pedidos de conexão, que não podem ser totalmente completados e manipulados.
Já os ataques de negação de serviços distribuídos (Distributed Denial of Service - DDoS) amplia a capacidade do ataque citado anteriormente, pois diversos hosts distribuídos são atacados e coordenados pelo hacker, para a realização de ataques simultâneos aos alvos.
A pergunta é: Porque a letra "b" também não está correta? Também não pode ser um ataque gerado por pacotes SYN forjados por estações localizadas na rede externa?
-
Independente de qual ataque é mais ou menos devastador (a questão não entrou neste mérito), a letra B tambem esta correta.
O DDoS também utiza/pode utilizar IP forjados e o Firewall de estado também pode bloquear este tipo de ataque.
-
Para estabelecer uma conexão é realizado o chamado aperto de mãos em três fases. A primeira fase é o envio do pacote SYN pelo cliente, a segunda fase é o envio da resposta do servidor ao cliente, o pacote SYN ACK, e a terceira fase é o retorno do cliente com o pacote ACK. Assim, após as três fases, estabelece-se a conexão.
O DDoS utiliza o envio de muitos pacotes da primeira fase(SYN) ao mesmo tempo(SYN flood) para o servidor, utilizando diversas maquinas escravas distribuídas, daí o primeiro "D" do "DDoS"(Distributed). Isso faz com que o servidor envie de volta o SYN ACK e fique aguardando o retorno do ACK do cliente, porém o atacante nunca retorna esse ACK.
Fazendo isso diversas vezes e forma simultanea o atacante consome todos os recursos do servidor, que perde a capacidade de receber novas requisições, ou seja, novos pacotes SYN. E com isso o servidor faz a negação do serviço(Deny of Service - DoS).
O DDoS também pode enviar somente o pacote ACK(terceira fase) inundando o servidor(ACK flood).
Já o DRDoS utiliza o envio de muitos pacotes da segunda fase(SYN ACK).
O DRDoS é feito da seguinte forma, o atacante envia para muitas máquinas um pacote SYN fingindo ser o servidor alvo, assim as máquinas entendem que é o servidor alvo do ataque que está enviando os pacotes SYN, e quando as máquinas respondem com o SYN ACK elas enviam os pacotes para o servidor alvo, inundando o servidor com pacotes SYN ACK.
-
A nova geração de ataques DDoS concentra-se no spoof da máquina alvo e no envio de pacotes para a máquina zumbi, mas com um porém: a máquina zumbi não necessita de estar sob a posse de quem está a fazer o ataque.
Simplificando o ataque, pensem da seguinte maneira: quando uma máquina envia um pacote para outra, ela espera uma resposta da máquina que recebeu o pacote para ter certeza de que o pacote chegou à máquina requisitada, sendo que se a máquina que recebeu o pacote não responder, aquela que enviou reenviará outro pacote. No caso, o utilizador que atacará a máquina alvo usará uma técnica denominada spoof, que consiste em usar o endereço de outra máquina para que a requisição seja feita.
# Em termos técnicos… Funciona assim:
A máquina A envia um pacote (SYN) “spoofado” para a máquina B, com o endereço da máquina C. A máquina B responde o pacote (SYN/ACK) para a máquina C, avisando que o recebeu. A máquina C ignora o pacote, pois não foi ela que requisitou e enviou.
A máquina B aguarda a resposta da máquina C.
A máquina B reenvia o pacote, pois não obteve resposta de recebimento pela máquina C.
Isso ocorre sucessivamente, já que a máquina C nunca responderá ao pacote, pois não foi ela que requisitou.