Ataques de Negação de Serviço

Tipo: Ataque de Negação de Serviço
Descrição técnica: Enviando um pacote TCP especialmente formatado de forma errada para roteadores Ascend contendo certas versões do sistema operacional Ascend, o roteador pode ser forçado a causar um erro interno, podendo resultar na
reinicialização do roteador.
Por que isto é importante: Este ataque pode fazer com que o seu roteador Ascend caia, desconectando-o da Internet ou desconectando seus usuários remotos.
Alarmes Falsos: Nenhum.
Sistemas afetados: Roteadores Ascend anteriores a Release 4.5Ci12.
O que fazer: Realize um ping no roteador que recebeu o ataque para ver se ele ainda está ativo. Se estiver, então nenhuma ação é necessária. Caso contrário, você precisará reinicializar o sistema e remover a vulnerabilidade.
Como remover esta vulnerabilidade: Atualize o seu roteador Ascend para a Release 4.5Ci12 ou posterior.

Tipo: Ataque de Negação de Serviço
Descrição técnica: Este teste irá perceber tentativas de se realizar um ataque de negação de serviço contra uma máquina na rede tentando comprometer uma máquina através de um flood de chargen contra si mesmo.
Por que isto é importante: Este ataque pode efetivamente desabilitar o seu servidor UNIX, fazendo com que ele gaste todo o seu tempo processando pacotes que ele está enviando para si mesmo.
Alarmes Falsos: Nenhum
Sistemas afetados: Todos os sistemas UNIX.
O que fazer: Matar e reinicializar o daemon inetd.
Como remover esta vulnerabilidade: Edite o arquivo /etc/inetd.conf e desabilite o serviço chargen do inetd. Este serviço não é mais necessário, mas freqüentemente ativo nas máquinas UNIX.

Echo Vulnerability Check

Tipo: Ataque de Negação de Serviço
Descrição técnica: Este teste irá escutar tentativas de se realizar um ataque de negação de serviço contra uma máquina na rede tentando comprometer uma máquina através de um flood de echo contra si mesmo.
Por que isto é importante: Este ataque pode efetivamente desabilitar o seu servidor UNIX, fazendo com que ele gaste todo o seu tempo processando pacotes que ele está ecoando de volta para si mesmo.
Alarmes Falsos: Nenhum
Sistemas afetados: Todos os sistemas UNIX
O que fazer: Matar e reinicializar o daemon inetd.
Como remover esta vulnerabilidade: Edite o arquivo /etc/inetd.conf e desabilite o serviço echo do inetd. Este serviço não é mais necessário, mas freqüentemente ativo nas máquinas UNIX.

Tipo: Ataque de Negação de Serviço
Descrição técnica: Este teste reconhece um ataque de Negação de Serviço contra um servidor de mail Qmail. Este ataque envia uma string de comando com um tamnaho extenso, fazendo com que o Qmail use toda RAM disponível do seu servidor.
Por que isto é importante: Este ataque pode fazer com que o seu servidor Qmail fique inoperante (caia).
Alarmes Falsos: É possível que um e-mail muito grande em uma única linha dispare esta característica, mas não representa um ataque.
Sistemas afetados: Versões 1.01 do Qmail e anteriores.
O que fazer: Veja se o servidor Qmail ainda está executando. Reinicialize-o se necessário.
Como remover esta vulnerabilidade: Atualize o seu servidor Qmail para uma versão 1.02 ou posterior.

Tipo: Ataque de Negação de Serviço
Descrição técnica: Este teste reconhece um ataque de Negação de Serviço contra um servidor de mail Qmail. Isto é causado por repetidos comandos RCPT ao servidor. Um parâmetro avançado 'Email_Qmail_Rcpt_Threshold' pode ser configurado para ajustar o número de RCPTs que são legitimamente permitidos em uma sessão antes de ativar isto como uma exploração. O valor padrão para este parâmetro é 65535.
Por que isto é importante: Este ataque pode fazer com que o seu servidor Qmail fique inoperante (caia).
Alarmes Falsos: É possível que um único e-mail com um número grande de receptores (mais de 65535) ativará esta característica, mas não que seja um ataque.
Sistemas afetados: Versões 1.01 do Qmail e anteriores.
O que fazer: Veja se o servidor Qmail ainda está executando. Reinicialize-o se necessário.
Como remover esta vulnerabilidade: Atualize o seu servidor Qmail para uma versão 1.02 ou posterior.

Finger Bomb Vulnerability Check

Tipo: Ataque de Negação de Serviço
Descrição técnica: Este teste percebe tentativas de se realizar um ataque de negação de serviço contra uma máquina ou de se redirecionar tentativas de   finger entre máquinas. Redirecionar tentativas de finger é freqüentemente usado por um atacante para esconder o endereço fonte original de uma tentativa de finger.
Por que isto é importante: Este ataque pode efetivamente desabilitar o seu sistema fazendo com que ele gaste todo o seu tempo processando pedidos de finger redirecionados a ele mesmo.
Alarmes Falsos: Nenhum
Sistemas afetados: Todos os sistemas que suportam o serviço finger.
O que fazer: Desabilite o finger na máquina alvo para ter certeza que o serviço finger terminou. Fique atento por outros sinais de abuso na máquina. Máquinas UNIX devem ser examinadas com o Analisador de Sistemas de Segurança ISS (S3).
Como remover esta vulnerabilidade: Desabilite o serviço finger ou atualize para um daemon de finger alternativo.

Um ataque Land, chamado assim depois de um exploração publicada daquele nome, é um ataque onde um pacote SYN do TCP é enviado com um endereço fonte IP e o número da porta falsificado para se tornar igual ao endereço IP destino e porta. Isto resulta em algumas implementação de rede TCP indo a um loop fazendo com que a máquina fique inoperante.

Tipo: Ataque de Negação de Serviço
Descrição técnica: Um Ping Flooding é uma tentativa de saturar a rede com pacotes que irão reduzir ou parar o tráfego legítimo que passa através da rede. Uma série contínua de pedidos de Echo ICMP é feita a uma máquina alvo na rede, que então responde com uma resposta Echo ICMP. A continua combinação de pedidos e respostas faz com que a rede fique lenta, fazendo com que o tráfego legítimo continue numa velocidade significativamente lenta, ou em casos extremos, disconecte-a.
Por que isto é importante: Este ataque efetivamente desabilita a conectividade da sua rede enchendo a sua rede com muitos pings que os outros tráfegos são reduzido ou excluídos completamente.
Alarmes Falsos: Nenhum
Sistemas afetados: Todos os sistemas TCP/IP
O que fazer: A fonte dos pings provavelmente falsificada, assim você terá que descobrir de onde os pings estão vindo para pará-los. Os pontos de sensores da rede (ou máquinas RealSecure) movem-se para os canais acima da conexão da Internet até que você encontre a fonte dos pings. Quando você a encontrar, pare os pings ou desabilite o sistema.
Como remover esta vulnerabilidade: Você não pode. A melhor coisa para se fazer seria reconfigurar o seu roteador ou firewall que estão no perímetro para não permitir pedidos ICMP na sua rede interna. Entretanto, isto não irá parar o ataque interno de inundações de ping.

Tipo: Ataque de Negação de Serviço
Descrição técnica: Anexando uma quantia muito grande de informação para um pacote de pedido de echo ICMP (ping), um atacante pode fazer com que a máquina alvo realize um overflow no buffer do kernel, quando ele tenta responder, fazendo com que o sistema caia.
Por que isto é importante: Este ataque fará com que sua máquina fique inoperante (caia).
Alarmes Falsos: É possível, mas muito improvável, que um teste exaustivo no sistema que usa pacotes ping contendo uma grande quantidade (mais de 4000 bytes) de dados ative este evento. Porém, é muito provável que esta característica seja um indicativo de uma intenção maliciosa.
Sistemas afetados: Digital Unix 4.0a e anteriores, Digital Ultrix 4.5 e anteriores, FreeBSD 2.15 e anteriores, HPUX 10.20 e anteriores, AIX 4.2 e anteriores, Linux 2.0.17 e anteriores, OSF/1 R1.3.2 e anteriores, SCO Unix System V/386 Release 3.2 Versão 4.2 e anteriores, Solaris 2.5.1 e anteriores. Contacte o seu vendedor para informações mais detalhada.
O que fazer: Configure o seu roteador ou firewall da Internet para bloquear as entradas de pedidos de pacotes echo ICMP da Internet.
Como remover esta vulnerabilidade: Atualize o seu sistema operacional.

Tipo: Ataque de Negação de Serviço
Descrição técnica: Este teste percebe a um pacote UDP rwho mal formado que contém um overflow do buffer, que pode ser usado por atacantes para realizar um ataque de negação de serviço contra o serviço rwhod ou para tentar executar um
código arbitrário numa máquina remota.
Por que isto é importante: Isto fará com que o daemon de rwhod caia no sistema alvo. Isto previne que administradores descubram quem está atualmente conectado no servidor alvo.
Alarmes Falsos: Nenhum
Sistemas afetados: Todas as versões do AIX
O que fazer: Você pode reinicializar o processo rwhod. Ou você pode escolher deixá-lo de fora. P rwho não é um serviço crítico e alguns administradores se sentem mais confortáveis sem este serviço.
Como remover esta vulnerabilidade: Desabilite o serviço rwho nos sistemas vulneráveis.

Tipo: Ataque de Negação de Serviço
Descrição técnica: Os pacotes de pedido de echo ICMP (ping) endereçados a um endereço IP de broadcast pode causar um grande número de respostas quando cada máquina da subrede responde ao mesmo pedido de ping. O grande número de respostas possa consumir toda largura de banda disponível da rede, especialmente se os dados são anexados ao pedido de ping. Isto pode prevenir que um tráfego legítimo seja transmitido durante o ataque. Este ataque é freqüentemente usado contra terceiros, onde o atacante falsifica o endereço fonte do alvo em um ataque smurf contra um diferente alvo. No extremo, este ataque pode desabilitar simultaneamente ambos alvos.
Por que isto é importante: O tráfego legítimo não pode ser transmitido durante o ataque.
Alarmes Falsos: Um grande número de pacotes de ping legítimos enviados ao mesmo tempo pode ativar esta característica, como também pode um ping enviado por um administrador a um endereço broadcast de uma subrede (isto às vezes é feito para encher o cache do ARP ou para ver quais máquinas estão funcionando). Dados adicionais anexados ao pedido de ping são altamente suspeito e sugestionam um propósito malicioso.
Sistemas afetados: A maioria das implementações do TCP/IP. Verifique mais detalhes com o seu vendedor.
O que fazer: Verifique com os administradores da rede se alguém está enviando pings broadcast. Verifique o pacote para ver se dados adicionais foram anexados ao pedido de ping (você pode precisar de dados de registros recentes para determinar isto). Configure o seu roteador ou firewall da Internet para bloquear pedidos de ping que estão chegando para endereços IP de broadcasts.
Como remover esta vulnerabilidade: Não existe nenhuma vulnerabilidade para ser removida.

Tipo: Ataque de Negação de Serviço
Descrição técnica: Uma conexão TCP padrão é estabelecida enviando um pacote SYN para a máquina destino. Se o destino estiver esperando por uma conexão numa porta específica, ele irá responder com um pacote SYN/ACK. O   remetente inicial então responderá ao SYN/ACK com um pacote ACK, e a conexão está estabelecida. Quando o SYN/ACK é enviado de volta à fonte, um bloco de memória é alocado para segurar as informações sobre o estado da conexão que está atualmente sendo estabelecida. Até que o ACK final seja recebido ou um time-out seja alcançado, este bloco de memória continua inutilizado, esperando receber por mais informações da máquina fonte. Enviando uma grande quantidade de pacotes SYN para uma máquina, o destino consumirá a porção de memória que tem em mãos negociando com as conexões abertas. As conexões autênticas já não serão capazes de se conectar com a máquina . Esta situação pode ser detectada por pacotes de flood de SYN sem o acompanhamento de respostas. Isto pode ser corrigido enviando pacotes RST ao destino que corresponde aos SYNs iniciais. Isto faz com que a máquina destino libere aquele bloco de memória, gerando espaço para uma
nova conexão autêntica.
Por que isto é importante: A maioria do sistema possui um limite pré-definido de conexões ativas TCP. Uma vez alcançado este limite, as conexões adicionais serão ignoradas. Um ataque de SYN Flood tenta gastar estas conexões e então deixá-las desocupadas (idle) de forma que a estação vítima não possa aceitar nenhuma conexão adicional.
Alarmes Falsos: É possível que aplicações de rede (tal como atualizações PointCast ou pedidos HTTP para páginas Web muito "ocupadas") possam ativar esta característica, iniciando um número grande de sessões TCP para uma máquina   determinada em um pequeno período de tempo. Você pode ajustar os parâmetros de um SYN flood através da janela de  configuração da máquina.
Sistemas afetados: Virtualmente, todo o dispositivo de rede utiliza um limite padrão no número de conexões ativas TCP.
O que fazer: Ao invés de reinicializar a estação da vítima abruptamente para liberar as conexões, você pode esperar até que as conexões desocupadas (idles) terminem. O RealSecure pode acabar com estas conexões inativas (idles). Configure o RealSecure com a opção "Kill" para o SYN Flood. O RealSecure irá então terminar as futuras tentativas de SYN Flood na máquina. Se você vê este ataque combinado com sondagens, procure por ataques de falsificação de endereços IP contra máquinas diferentes dos alvos do SYN Flood.
Como remover esta vulnerabilidade: Você deveria considerar atualizar a sua versão do sistema operacional ou aplicar um remendo no serviço. Muitos sistemas operacionais possuem agora heuristicas para terminar conexões inativas (idles) que previnem o SYN Flood de trancar conexões válidas. Você também pode aumentar o limite padrão de buffers de conexão.

Tipo: Ataque de Negação de Serviço
Descrição técnica: O serviço talk permite que um usuário originando um pedido de talk para especificar uma string arbitrária a ser exibida para a origem do pedido de talk. Se esta string contém uma seqüência particular de caracteres de escape, é possível que cause um ataque de negação de serviço temporário mutilando os conteúdos da tela de um usuário. Isto é comumente conhecido como 'esguichando' (flashing) um usuário.
Por que isto é importante: O esguicho de talks ataca a configuração terminais para uma máquina e as reinicializa no modo binário, fazendo o sistema inutilizável naquele terminal até que este tipo de terminal seja reinicializado.
Alarmes Falsos: Nenhum
Sistemas afetados: Máquinas UNIX com o serviço Talk habilitado.
O que fazer: Reinicializar o terminal no sistema alvo.
Como remover esta vulnerabilidade: Desabilitar o serviço talk.

Why this is important: The talk flash attack targets the terminal settings for a host and resets them to binary mode, making the system unusable from that terminal until the terminal type is reset.

Tipo: Negação de ataque de Serviço
Descrição técnica: Um pacote UDP que é construído com valores ilegais em certos campos irá fazer com que alguns sistemas operacionais mais antigos fiquem inoperantes quando o pacote for recebido. Se a máquina alvo ficar inoperante, é freqüentemente difícil determinar a causa. A maioria dos sistemas operacionais que não são vulnerável a este problema irão descartar silenciosamente o pacote inválido, não deixarando nenhum rastro de que ele estava sendo sujeitado a um ataque malicioso.
Por que isto é importante: Este ataque fará com que o seu sistema SunOS caia, ficando inoperante.
Alarmes Falsos: Nenhum
Sistemas afetados: SunOS 4.1.3a1 ou anteriores.
O que fazer: Verifique para ver se o alvo caiu. Se a sua máquina SunOS for vulnerável a este ataque, você terá que reinicializar a máquina.
Como remover esta vulnerabilidade: Atualize para uma versão do SunOS que seja mais recente que a versão 4.1.3a1.

Tipo: Negação de ataque de Serviço
Descrição técnica: Este teste reconhecerá um ataque de negação de serviço out-of-band (que consome toda a banda) contra uma máquina Windows. Este ataque causará uma queda completa de uma máquina (tela azul) ou uma perda da conectividade da rede em máquinas vulneráveis. Este ataque, também conhecido como ' WinNuke', possui duas variações, uma original Win-Nuke e um segundo ataque conhecido como WinNuke2 ou Mac WinNuke. Ambos destes ataques são reconhecidos por este teste de vulnerabilidade.
Por que isto é importante: Este ataque fará com que a sua máquina Windows caia, ficando inoperante.
Alarmes Falsos: Nenhum
Sistemas afetados: Windows NT 4.0 com o Service Pack 2 ou 3 que não instalaram o remendo. Máquinas Windows 95 que não instalaram o remendo.
O que fazer: Verifique para ver se o alvo caiu. Se a sua máquina Windows for vulnerável a, este ataque, você terá que reinicializar a máquina.
Como remover esta vulnerabilidade: Para o Windows NT 4.0, instale Service Pack 3 com o remendo de ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postSP3/oob-fix. Para o Windows NT 3.51, instale o remendo de ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixa/usa/nt351/hotfixes-postSP5/oob-fix. Para o Windows 95, instale o remendo de http://www.microsoft.com/kb/articles/q168/7/47.htm