Ataque de dos específico do OS

Se um invasor não apenas identificar o endereço IP e os números de porta responsivos de um host ativo, mas também seu sistema operacional (OS), em vez de recorrer a ataques de força bruta, o invasor pode lançar ataques mais elegantes que podem produzir "abates" de um pacote ou dois pacotes.

Ataques de negação de serviço (DoS) específicos do OS, incluindo ping de ataques de morte, ataques de tearped e ataques WinNuke, podem prejudicar um sistema com o mínimo de esforço. Se o Junos OS estiver protegendo hosts suscetíveis a esses ataques, você pode configurar o Junos OS para detectar esses ataques e bloqueá-los antes que eles atinjam seu alvo.

Ataques do DoS específicos do OS, como ping de ataques de morte, podem prejudicar um sistema com o mínimo de esforço.

O tamanho máximo de pacote IP permitido é de 65.535 bytes, incluindo o cabeçalho de pacote, que normalmente é de 20 bytes. Uma solicitação de eco do ICMP é um pacote IP com um pseudo cabeçalho, que é de 8 bytes. Portanto, o tamanho máximo permitido da área de dados de uma solicitação de eco do ICMP é de 65.507 bytes (65.535 - 20 - 8 = 65.507).

No entanto, muitas implementações de ping permitem que o usuário especifique um tamanho de pacote maior que 65.507 bytes. Um pacote de ICMP altamente superdimensionado pode desencadear uma série de reações adversas do sistema, como negação de serviço (DoS), quebras, congelamento e reinicialização.

Quando você habilita o ping da opção de tela de morte, o Junos OS detecta e rejeita tamanhos de pacotes superdimensionados e irregulares, mesmo quando o invasor esconde o tamanho total do pacote fragmentando-o. Veja a Figura 1.

Figura 1: Ping da morte

Este exemplo mostra como se proteger contra um ataque de ping-of-death.

Ataques de negação de serviço (DoS) específicos do OS, como ataques de tears, podem prejudicar um sistema com o mínimo de esforço.

Ataques de tears exploram a remontagem de pacotes IP fragmentados. No cabeçalho IP, um dos campos é o campo de compensação de fragmentos, que indica a posição inicial, ou compensação, dos dados contidos em um pacote fragmentado em relação aos dados do pacote original não estruturado. Veja a Figura 2.

Figura 2: Ataques de tears

Quando a soma da compensação e do tamanho de um pacote fragmentado difere da do próximo pacote fragmentado, os pacotes se sobrepõem e o servidor que tenta remontar o pacote pode falhar, especialmente se estiver executando um sistema operacional mais antigo que tenha essa vulnerabilidade. Veja a Figura 3.

Figura 3: Discrepância de fragmentos

Depois de habilitar a opção de tela de ataque tearped, sempre que o Junos OS detecta essa discrepância em um pacote fragmentado, ele a derruba.

Ataques de negação de serviço (DoS) específicos do OS, como ataques WinNuke, podem prejudicar um sistema com o mínimo de esforço.

WinNuke é um ataque DoS direcionado a qualquer computador na Internet que executa o Windows. O invasor envia um segmento de TCP — geralmente para a porta NetBIOS 139 com a bandeira urgente (URG) — para um host com uma conexão estabelecida (ver Figura 4). Isso introduz uma sobreposição de fragmentos de NetBIOS, o que faz com que muitas máquinas que executam o Windows caiam. Após a reinicialização da máquina atacada, a seguinte mensagem aparece, indicando que ocorreu um ataque:

Figura 4: Indicadores de ataque WinNuke

Se você habilitar a opção de tela de defesa de ataque WinNuke, o Junos OS verifica qualquer pacote de serviço de sessão Microsoft NetBIOS (porta 139) de entrada. Se o Junos OS observar que a bandeira do URG está definida em um desses pacotes, ele desativa a bandeira URG, limpa o ponteiro URG, encaminha o pacote modificado e faz uma entrada no log de caso note que bloqueou uma tentativa de ataque WinNuke.

Este exemplo mostra como se proteger contra um ataque WinNuke.