O HPING foi um software que abriu várias portas para os testes de vulnerabilidades e também para a invasão feita por estudiosos mal intencionados. Porém como tudo que vem para o bem, tem o seu lado para o mal, que é visto pelos olhos de quem deseja isso, não podemos fazer nada. Porém podemos usufruir deste software, explorando ele e utilizando para o nosso estudo.

Vamos utilizar o HPING3 para enviar pacotes SYN Flood para um site e ver se realmente funcionou. Bem, na verdade pretendemos enviar tantos pacotes SYNFlood para o servidor que hospeda a página web, que ele não vai aguentar e provavelmente irá "cair".

Antes de mais nada, vamos entender o que seria o SYN Flood.

É uma forma de DoS (Deny of service), onde o atacante envia vários pacotes SYN, fazendo requisições ao servidor-alvo, causando uma sobrecarga na camada de transporte.

Bem, se você quer se aprofundar mais neste assunto, sugiro a leitura do wiki sobre SYN Flood.

Para instalar o HPING no Debian GNU/Linux faça:

# apt-get -y --force-yes install hping3

Vamos utilizar o HPING e ver a saída:

# hping3 --flood --syn -c 10000 -a 10.50.81.78 -p 80 10.50.81.56
HPING 10.50.81.56 (eth0 10.50.81.56): S set, 40 headers + 0 data bytes
hping in flood mode, no replies will be shown

Bem, veja abaixo o que o mesmo causou: Nessa imagem você pode notar que o servidor de teste que foi atacado simplesmente "travou" com o envio de pacotes em forma de "flood".

Agora, veja depois de parar o HPing, como tudo voltou ao normal: Existem várias opções para utilizar o HPing3, então basta estudar um pouco e testar.

A solução

Se você utiliza iptables, basta adicionar essas linhas no seu firewall:

# iptables -A FORWARD -p tcp --syn -m limit --limit 10/s -j ACCEPT
# iptables -A FORWARD -p tcp --syn -j DROP

Com isso, o seu servidor vai limitar 10 pacotes SYN Flood por segundo, então um atacante não poderá enviar, 10 mil, ou mil ou uma quantidade alta, para que seu servidor fique enviando respostas (ACK) para cada requisição feita.

Mais sobre isso, você pode encontrar em uma das referências deste artigo, neste link.

Conclusão

Neste artigo vimos uma continuação de segurança no ambiente GNU/Linux.

Não ache que apenas o Windows tem falhas, pois nenhum sistema operacional é perfeito, até porque, se fosse, qual seria a graça?

O foco deste artigo (como foi visto) é o teste, explorando vulnerabilidades para que assim possamos entender como funciona e então criar uma proteção para a nossa rede. Fiz vários testes em faculdade, trabalho, casa, e em outros locais, e simplesmente a quantidade de vulnerabilidades encontradas foi imensa.

Para quem quer ser um "pentester", ou do inglês quem faz "penetration test", já existe a nova versão do BackTrack (versão 4 Final). Ele vem com várias ferramentas para a exploração de vulnerabilidades. E para mim, o melhor foi saber que o BackTrack agora está baseado no Debian.

Até a próxima. :)

Fontes:

Proteção contra SYN Flood Understanding bash fork bomb