Ataque de negação de serviço por reflexão amplificada : explorando o protocolo Domain Name System para a detecção e identificação de refletores

Trabalho de Conclusão de Curso (graduação)—Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, 2019.O avanço da tecnologia permitiu o aumento de serviços automatizados na Internet, gerando a necessidade de confiabilidade em sistemas computacionais. O grande número de servidores tornou possível o surgimento de novas vulnerabilidades, e consequentemente, novos formatos de ataque surgiram, compromentendo a segurança de servidores e de consumidores. Um dos ataques mais recorrentes é conhecido como Ataque de Negação de Serviço, ou Distributed Denial of Service (DDoS), que possui como principal objetivo dificultar, ou até mesmo impedir a comunicação entre clientes e servidores. Existe também uma outra abordagem que abusa do protocolo User Datagram Protocol (UDP) e do processamento de servidores legítimos, que são utilizados como intermediários para a realização do ataque, atuando como refletores. Dentro da comunidade científica, há uma série de problemas a serem considerados para a construção de novas mitigações do ataque. Porém, é indiscutível, para tanto, a necessidade de estudá-los, devido aos prejuízos que a indisponibilidade de serviço gera em grandes corporações. Da mesma forma que os ataques acompanham a evolução das soluções, a comunidade de segurança acompanha a evolução desses ataques. Este trabalho propõe uma ferramenta que realize a detecção e a identificação de refletores, principais agentes em ataques de negação de serviço por reflexão amplificada. Para a realização da detecção, os métodos utilizados até o momento consideram apenas a análise de pacotes referentes ao protocolo Domain Name System (DNS). Uma série de testes foi realizada em conjunto à pesquisa de [1] realizada na Universidade de Brasília, que permitiram analisar a eficiência da detecção do refletor em diversos níveis de dificuldade, com métrica de quantidade de pacotes por segundo. Para tanto, a ferramenta, que inserida em determinada estrutura, permitiu detectar e identificar o refletor, bloqueando-o de maneira estratégica; fornecendo caminhos alternativos para reestabelecer uma comunicação entre o servidor e clientes.The advancement of technology allowed the increase of automated services on the Internet, generating the need for reliability in computational systems. The large number of servers made it possible for new vulnerabilities to appear, and consequently, new attack formats emerged, compromising the security of servers and consumers. One of the most recurring attacks is known as Denial of Service Attack (DDoS), whose main purpose is to hamper or even prevent communication between clients and servers. There is also another approach that abuses the protocol User Datagram Protocol (UDP) and the processing of legitimate servers, which are used as intermediates for the realization of the attack, acting as reflectors. Within the scientific community, there are a number of problems to be considered for building new mitigations of the attack. However, it is unquestionable, therefore, the need to study them, due to the damages that the unavailability of service generates in large corporations. In the same way that the attacks accompany the evolution of the solutions, the security community follows the evolution of these attacks. This work proposes a tool that performs the detection and identification of reflectors, the main agents in denial of service attacks by amplified reflection. In order to perform the detection, the methods used so far consider only the analysis of packages referring to the Domain Name System (DNS) protocol. A series of tests was carried out in conjunction with the research [1], carried out at the University of Brasilia, which allowed the analysis of the reflector detection efficiency in several levels of difficulty, with a number of packages per second metric. To do so, the tool, which inserted in a certain structure, allowed to detect and identify the reflector, blocking it in a strategic way; providing alternative ways to reestablish communication between the server and clients

Ataque de negação de serviço por reflexão amplificada explorando memcached

Trabalho de Conclusão de Curso (graduação)—Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, 2019.Ataques de negação de serviço (DoS) representam uma grande ameaça para a estabilidade da internet e são uma preocupação constante dos profissionais de segurança da informação. Esse tipo de ataque tem como objetivo interromper o acesso de usuários legítimos a um determinado serviço. Muitas vezes o atacante se utiliza de máquinas expostas na internet para refletir e amplificar o ataque, e essa subcategoria de ataque de negação de serviço é o foco do estuda desse trabalho. Aqui são apresentados os conceitos básicos do ataque de negação de serviço e a análise da utilização da aplicação Memcached na realização de um ataque DoS refletido. De maneira secundária iremos apresentar a ferramenta desenvolvida para a realização dos teste apresentados.Denial of service attacks presents a very serious threat to the stability of the internet and is a major concern for security professionals. This type of attack is intended to stop legitimate users from accessing a particular service. Often the attacker uses machines exposed on the internet to reflect and amplify the attack, and this subcategory of denial of service attack will be the focus of this study. We will present the basic concepts of DoS attack and analyze the potential of a Memcached server in performing a reflected DoS. In a secondary way we will present the tool used to performe tests

Internet das coisas e seus riscos : uma análise da exploração de servidores CoAP como refletores de ataques de negação de serviço amplificados

Trabalho de Conclusão de Curso (graduação)—Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, 2019.Ataques de Negação de Serviço (DoS) são amplamente utilizados e apresentam grandes riscos à estabilidade da Internet. São ataques antigos que foram evoluindo junto com tecnologias e infraestrutura presentes na internet. Com advento e popularização da Inter- net das Coisas (IoT) muitos dispositivos de baixo poder computacional estão aberto para internet com baixa preocupação com segurança. Como esses dispositivos tem capacidade reduzida, são utilizados protocolos mais modestos que, comumente, trocam segurança por simplicidade. Esse trabalho apresenta uma análise sobre como os vários dispositivos da Internet das Coisas podem ser potenciais vetores de ataques, uma visão geral de ataque DoS e um enfoque em DoS com CoAP para reflexão amplificada de pacotes UDP. E, para simulações e testes foi também implementado um módulo CoAP na ferramenta Lindehof 1.Denial of Service (DoS) attacks are widely used and present great risks to the stability of the Internet. These are well known attacks that have evolved along with Internet technolo- gies and infrastructure. With the popularization of the Internet of Things (IoT), many low power computing devices are now open to the Internet with little security concerns. As these devices have reduced computational power, lightweight communication protocols are used that commonly switch security for simplicity. In this work we will present an analysis of how the various IoT devices can potentially be attack vectors, an overview of DoS attack focusing on exploiting CoAP for amplified reflection of UDP packets. Also, a new module for the Lindehof 2 framework was implemented for simulations and tests

A Methodological Approach for Assessing Amplified Reflection Distributed Denial of Service on the Internet of Things

Concerns about security on Internet of Things (IoT) cover data privacy and integrity, access control, and availability. IoT abuse in distributed denial of service attacks is a major issue, as typical IoT devices’ limited computing, communications, and power resources are prioritized in implementing functionality rather than security features. Incidents involving attacks have been reported, but without clear characterization and evaluation of threats and impacts. The main purpose of this work is to methodically assess the possible impacts of a specific class–amplified reflection distributed denial of service attacks (AR-DDoS)–against IoT. The novel approach used to empirically examine the threat represented by running the attack over a controlled environment, with IoT devices, considered the perspective of an attacker. The methodology used in tests includes that perspective, and actively prospects vulnerabilities in computer systems. This methodology defines standardized procedures for tool-independent vulnerability assessment based on strategy, and the decision flows during execution of penetration tests (pentests). After validation in different scenarios, the methodology was applied in amplified reflection distributed denial of service (AR-DDoS) attack threat assessment. Results show that, according to attack intensity, AR-DDoS saturates reflector infrastructure. Therefore, concerns about AR-DDoS are founded, but expected impact on abused IoT infrastructure and devices will be possibly as hard as on final victims

A Methodological Approach for Assessing Amplified Reflection Distributed Denial of Service on the Internet of Things

Concerns about security on Internet of Things (IoT) cover data privacy and integrity, access control, and availability. IoT abuse in distributed denial of service attacks is a major issue, as typical IoT devices’ limited computing, communications, and power resources are prioritized in implementing functionality rather than security features. Incidents involving attacks have been reported, but without clear characterization and evaluation of threats and impacts. The main purpose of this work is to methodically assess the possible impacts of a specific class–amplified reflection distributed denial of service attacks (AR-DDoS)–against IoT. The novel approach used to empirically examine the threat represented by running the attack over a controlled environment, with IoT devices, considered the perspective of an attacker. The methodology used in tests includes that perspective, and actively prospects vulnerabilities in computer systems. This methodology defines standardized procedures for tool-independent vulnerability assessment based on strategy, and the decision flows during execution of penetration tests (pentests). After validation in different scenarios, the methodology was applied in amplified reflection distributed denial of service (AR-DDoS) attack threat assessment. Results show that, according to attack intensity, AR-DDoS saturates reflector infrastructure. Therefore, concerns about AR-DDoS are founded, but expected impact on abused IoT infrastructure and devices will be possibly as hard as on final victims

Web application penetration test: Proposal for a generic web application testing methodology

Nowadays, Security Management is beginning to become a priority for most companies. The primary aim is to prevent unauthorized identities from accessing classified information and using it against the organization. The best way to mitigate hacker attacks is to learn their methodologies. There are numerous ways to do it, but the most common is based on Penetration Tests, a simulation of an attack to verify the security of a system or environment to be analyzed. This test can be performed through physical means utilizing hardware or through social engineering. The objective of this test is to examine, under extreme circumstances, the behavior of systems, networks, or personnel devices, to identify their weaknesses and vulnerabilities. This dissertation will present an analysis of the State of the Art related to penetration testing, the most used tools and methodologies, its comparison, and the most critical web application vulnerabilities. With the goal of developing a generic security testing methodology applicable to any Web application, an actual penetration test to the web application developed by VTXRM – Software Factory (Accipiens) will be described, applying methods and Open-Source software step by step to assess the security of the different components of the system that hosts Accipiens. At the end of the dissertation, the results will be exposed and analyzed.Atualmente, a Gestão de Segurança da Informação começa a tornar-se uma prioridade para a maioria das Empresas, com o principal objetivo de impedir que identidades não autorizadas acedam a informações confidenciais e as utilizem contra a organização. Uma das melhores formas de mitigar os possíveis ataques é aprender com as metodologias dos atacantes. Existem inúmeras formas de o fazer, mas a mais comum baseia-se na realização de Testes de Intrusão, uma simulação de um ataque para verificar a segurança de um sistema ou ambiente a ser analisado. Este teste pode ser realizado através de meios físicos utilizando hardware, através de engenharia social e através de vulnerabilidades do ambiente. O objetivo deste teste é examinar, em circunstâncias extremas, o comportamento de sistemas, redes, ou dispositivos pessoais, para identificar as suas fraquezas e vulnerabilidades. Nesta dissertação será apresentada uma análise ao estado da arte relacionada com testes de penetração, as ferramentas e metodologias mais utilizadas, uma comparação entre elas, serão também explicadas algumas das vulnerabilidades mais críticas em aplicações web. O objetivo é o desenvolvimento de uma metodologia genérica de testes de intrusão, ambicionando a sua aplicabilidade e genericidade em aplicações web, sendo esta aplicada e descrita num teste de intrusão real à aplicação web desenvolvida pela VTXRM – Software Factory (Accipiens), aplicando passo a passo métodos e softwares Open-Source com o objetivo de analisar a segurança dos diferentes componentes do sistema no qual o Accipiens está instalado. No final serão apresentados os resultados do mesmo e a sua análise

Ragnar : ferramenta para Pentest em dispositivos da Internet das Coisas

Trabalho de Conclusão de Curso (graduação)—Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, 2017.A Internet das Coisas é tida como o novo paradigma dos sistemas de computação. Ela provê uma maior integração entre dispositivos e usuários e facilita a obtenção de dados para diversas áreas. Com a premissa de que tudo pode ser conectado, ela possibilita serviços anteriormente difíceis de serem fornecidos e permite um avanço na conexão entre dispositivos. Porém, a presença desses dispositivos interconectados na extração de informações críticas ou pessoais acaba sendo constante e torna-se necessário garantir a segurança implementada para evitar vazamentos de dados. Esse este estudo traz, portanto, uma análise dos maiores problemas de segurança relatados para esse paradigma e propõe uma ferramenta que realiza testes de intrusão com o objetivo de assegurar que vulnerabilidades estão sendo tratadas. Espera-se que a ferramenta atenda à demanda por testes mais precisos e que seja continuamente atualizada conforme os cenários sejam alterados.The Internet of Things is regarded as the new paradigm of computer systems. It provides a better integration between devices and users and makes it easier to obtain data for several areas. With the premise that everything can be connected, it enables previously difficult services to be provided and allows a breakthrough in the connection between devices. However, the presence of these interconnected devices in the extraction of critical or personal information ends up being constant and it becomes necessary to guarantee the security implemented to avoid data leakage. This study therefore provides an analysis of the major security problems reported for this paradigm and proposes a tool that performs penetration tests with the purpose of ensuring that vulnerabilities are being addressed. The tool is expected to meet the demand for more accurate testing and to continually update as the scenarios change

Saturation analysis of IoT devices acting as reflectors on amplified reflection distributed denial of service attacks

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, Mestrado Profissional em Engenharia Elétrica, 2020.No contexto dos ataques distribuídos de negação de serviço (DDoS), os ataques por reflexão amplificada (AR-DDoS) representam uma tendência que vem se intensificando ao longo dos últimos anos, com volumes de tráfego cada vez maiores. Isso se deve, em parte, à crescente utilização de dispositivos da Internet das Coisas (IoT) nestes ataques, principalmente devido à ampla superfície de ataque que tais dispositivos proporcionam. Com esta motivação, foram exe- cutados diversos ataques AR-DDoS com três dispositivos IoT típicos (gateway ADSL, câmera IP e Raspberry Pi) atuando como refletores, em ambiente controlado, explorando três protocolos comumente encontrados na Internet das Coisas – SSDP, SNMP e CoAP – , sendo o último uma tendência recente, sobre IPv4 e IPv6 (quando possível), de forma a se avaliar a saturação desses equipamentos e as taxas máximas de amplificação dos ataques em curso. Os resultados obtidos são consistentes com estudos anteriores envolvendo equipamentos convencionais e caracterizam a saturação dos refletores para baixas taxas de injeção de pacotes.In the context of distributed denial of service (DDoS) attacks, those which use amplified re- flection (AR-DDoS) represent a trend that has been intensifying over the past few years, with increasing volumes of traffic. This happens, in part, due to the increasing use of Internet of Things (IoT) devices in those attacks, mainly because of the extensive attack surface that IoT de- vices provide. With this motivation, several AR-DDoS attacks were carried out with three typical IoT devices (ADSL gateway, IP camera and Raspberry Pi) acting as reflectors, in a controlled en- vironment, abusing three protocols commonly found on IoT devices - SSDP , SNMP and CoAP -, the latter one a recent trend, over IPv4 and IPv6 (when possible), in order to assess their satura- tion behavior and the maximum amplification rates of the ongoing attacks. The results achieved are consistent with previous studies involving conventional equipment and characterize reflector saturation at low probe injection rates