Professor: Macêdo Firmino

Disciplina: Segurança de Computadoores

Prática 02: Simulando ataques DoS com Hping

Olá turma, hoje iremos conhecer a ferra- Os principais parâmetros do hping3 são:
menta Hping3 e simular um ataque de DoS com
ela. Conheceremos seus parâmetros, exemplos • -V Modo Verbose;
de utilização e realizarmos testes na rede. Apre- • -c Contador de pacotes;
sentaremos alguns comandos que um adminis-
trador de redes pode adotar em seu rol de apli- • -d Tamanho do dado;
cativos de verificação de segurança.
• -p Porta de destino;

Hping3 • -s Porta de origem;

• –rand-source Randomização da origem;
A ferramenta hping é um monta-
dor/analisador de pacotes TCP/IP orientado • –fast 10 pacotes por segundo;
a linha de comando. Ele suporta protocolos
TCP, UDP, ICMP e RAW-IP. Possui modo • –faster 100 pacotes por segundo;
traceroute, capacidade de enviar arquivos entre
• –flood Máximo de pacotes possı́veis por
um canal e muitos outros recursos.
segundo;
Para as tarefas de verificação de intrusões e
da auditoria de segurança, a ferramenta hping
é uma das melhores disponı́veis na rede. Atual- Exemplo do uso de Hping3
mente em sua terceira geração, o hping tornou- 01. Teste de ICMP: o hping3 pode ser usado
se o programa preferido para criar pacotes IP, como um ping normal, enviando ICMP-
normalmente utilizados com o propósito de tes- echo e recebendo resposta de ICMP;
tar firewalls e sistemas de detecção de intrusão.
Ele também pode ser usado para testar se- hping3 -1 [Link]
gurança em redes e hosts. Por exemplo:
02. Traceroute usando ICMP: este exemplo é
• Varredura de porta; semelhante a utilitários famosos como tra-
• Auditoria da implementação TCP/IP; cert (windows) ou traceroute (linux) que
usam pacotes ICMP aumentando cada
• Gerar intenso tráfego de dado; vez em 1 seu valor TTL.

• Utilizado aprender os protocolos da pilha hping3 --traceroute -V -1

TCP/IP. [Link]
Como o hping pode ser usado para manipular 03. Enviar 10 mil segmentos TCP com bit syn
todos os campos, atributos e tipos de protocolo na porta 80, fazendo uma falcificação do
existentes na conjunto de protocolos baseados IP de origem para o IP [Link]:
em TCP/IP, alguns usuários o apelidaram de
“modelador de pacotes”. hping3 --flood --syn -c 10000 -a [Link]
Uma das principais utilizaçeõs dele por um -p 80 [Link]
atacante é realizar o teste de perı́metro. Por
exemplo, o programa pode ser utilizado para 04. Ataque de DoS Land (IP de origem e des-
gerar tráfego que testa se o firewall é capaz de tino são iguais)
bloquear pacotes manipulados e se o sistema de
detecção de intrusão é capaz de identificar ano- hping3 -V -c 1000 -d 100 -S -p 21 -s 80
malias e problemas. Programas como o hping3 -k -a [Link] [Link]
são simplesmente perfeitos para gerar esse tipo
de tráfego “anormal”.
onde: Atividade
• -V - Verbose; 01. Formem duplas, para simular um ataque
do DoS com o hping3.
• -c –count: contagem de pacotes;
02. Utilize duas máquinas virtuais, ligadas
• -d –data: tamanho dos dados;
pela rede interna e sem acesso a rede ex-
• -S –syn: definir sinalizador SYN; terna (uma, chamada de máquina ata-
cante, com o kali).
• -p –destport: porta de destino;
02. Na máquina alvo, instale o serviço http
• -s –baseport: porta de origem; apache;
• -k preserva a porta de origem; 03. Abra o Wireshark na máquina atacante e
tente “Sniffar” as conexões no do servidor;
• -a falcificaçãodo enderço IP de origem;
04. Na máquina atacante, utilize o pacote
O ataque batizado com o nome LAND, que
“hping3”, e começe a emviar mensagens
apareceu pela primeira vez em 1997, envolve o
tentado realizar umm ataque de DoS no
envio de um pacote manipulado com a marca
servidor “http” do Apache na porta 80 da
SYN ativada para uma máquina alvo. O pacote
máquina alvo;
manipulado tem o mesmo endereço IP de ori-
gem e a mesma porta de origem que a máquina 05. Verifique o comportamento dos pacotes
alvo. Quando esse ataque apareceu pela pri- com o Wireshark e veja o comportamento
meira vez, fez com que sistemas Windows sem do Apache na máquina alvo;
atualizações de segurança criassem um loop in-
finito para a conexão e travassem. 06. Roda se necessário várias instâncias de
hping3, teste parâmetros e veja se con-
05. Ataque de DoS do tipo Syn Flooding: na segue fazem com que o apache pare de
qual o atacante envia uma sequência de responder.
requisições SYN para um sistema-alvo vi-
sando uma sobrecarga direta na camada 07. Quais foram os comandos, quantidade de
de transporte. mensagens enviadas e tempo necessário
para fazer o apache parar de responder
hping3 -V -c 1000000 -d 120 -S na máquina alvo?
-p 445 -s 445 --flood --rand-source
VICTIM_IP

onde:
• –flood: envia pacotes o mais rápido pos-
sı́vel. Não mostre respostas;
• –rand-dest: modo de endereço de destio-
namento aleatório.

06. Ataque de DoS do tipo Smurf: envio de

uma série de solicitação de pacotes ICMP
Echo para o IP de origem falsificado da
vı́tima usando um endereço de broadcast
IP. A maioria dos dispositivos em uma
rede, por padrão, responderá a isso en-
viando uma resposta para o endereço IP
de origem. Se o número de máquinas na
rede que recebem e respondem a esses pa-
cotes é muito grande, o computador da
vı́tima será inundado com o tráfego. Isso
pode retardar o computador da vı́tima até
o ponto em que se torna impossı́vel traba-
lhar nele.

hping3 -1 --flood -a
VICTIM_IP BROADCAST_ADDRESS