Artigo escrito e enviado por  Diego Pires de Azevedo Gonçalves

Primeiramente gostaria de deixar claro que escrevo esse artigo a pedido do usuário Victor Garcia; em hipótese alguma quero fazer alusões ao que vem acontecendo na Internet, assim como, defender causas, negá-las, justificá-las e promovê-las. Minha intenção é puramente de aprendizagem e divulgação, agora cabe a cada leitor decidir o que irá fazer com o conhecimento adquirido, ou reforçado, aqui neste artigo.

Desta forma não irei me referir a nomes de grupos e/ou pessoas e tão pouco a conceitos os quais acho que devem ser revistos antes de serem aplicados.

Posso não concordar com nenhuma das palavras que você disser,

mas defenderei até a morte o direito de você dizê-las.

(Voltaire)

Introdução

Vira e mexe sai publicado nos meios de comunicação virtual usuários e/ou grupo deles “derrubando” sites, fazendo defacement, invadindo e-mails etc. Mas isso foi sempre assim, desde o surgimento da Internet, ou melhor, da telefonia, sempre alguém encontrou algum meio de burlar o sistema, ou por alguma falha intrínseca a ele ou por algum fator externo. A diferença está no alvo, ou seja, dependendo da popularidade deste, vamos dizer assim, o(s) atacante(s) terá(ão) uma promoção maior, ou menor, perante ao público.

O assunto desse artigo é sobre um software chamado Low Orbit Ion Cannon (LOIC) cuja tradução é Canhão de Íon da Órbita Inferior; uma ferramenta usada em um tipo de ataque chamado DoS e seu variante DDoS.

Mas antes de iniciar o artigo propriamente dito, irei recorrer a Física para entendermos o sentido do nome desta ferramenta. Íons nada mais são que átomos eletrizados positivamente, quando perdem elétrons, ou negativamente quando ganham elétrons e, para completar o sentido do nome da “arma” em estudo, vale lembrar que os elétrons estão em volta do núcleo em camadas, ou subníveis, sendo que os de subníveis superiores possuem menos energia e os inferiores mais, grosso modo. Voltando ao nome Canhão de Íon da Órbita Inferior poderíamos tranquilamente renomear para Canhão de Íons dos Subníveis Inferiores, ou seja, um super-raio!

E aí o leitor menos desavisado pode me perguntar: sinceramente, eu não sabia que podia emitir partículas energizadas pela Internet, mas como isso funciona? Calma, deixemos a imaginação de lado e vamos aos fatos…

Low Orbit Ion Cannon (LOIC)

O LOIC é software de código aberto escrito em C# desenvolvido pela Praetox Technoligies, e é categorizado como uma ferramenta de Stress Network, isto é, testar um aplicativo web exaustivamente para ver o quanto ele aguenta.

Seu nome vem de uma arma de um game de estratégia, chamado Command & Conquer, onde cada jogador é um comandante militar o qual deve elaborar suas missões a fim de salvar os reféns da garra do inimigo. E a pergunta é: como essa arma saiu dos jogos e foi parar aí em suas mãos? A resposta para essa pergunta parece piada, parece mais um conto do O Pasquim e se deve a uma garota que o jogo ops… que a história toda começou.

Catherine Wayne foi um fenômeno da Internet, seus vídeos no Youtube fizeram um sucesso enorme! Seu nickname era BoxxyBabee (com dois ‘e’, como ela mesma gosta de frisar), mas ficou mais conhecida somente como Boxxy. Pois bem essa garotinha dividiu os corações dos usuários do site 4chan. Diz à lenda que ela postou sua foto na seção /b/ do site 4chan, pronto, isso foi o estopim para criar uma divisão entre os usuários: uns a odiavam outros queriam por todo jeito casar com ela. Bom, o pessoal que não gostava dela começou a formular sua estratégia para poder salvar os reféns desse novo inimigo. Um ataque DDoS foi decidido entre eles e então foi postado uma imagem a qual continha o programa LOIC, ele estava camuflado dentro dessa imagem, o pessoal precisava apenas descarregá-la, mudar sua extensão para .rar, fazer a extração e voalá cada um estava munido com sua arma para poder fazer o ataque no dia marcado. Foram feitas duas operações chamadas de Valkyrie e Clampdown, cujo lema era “stop the spread of the boxxy cancer”, traduzindo “pare o crescimento do câncer boxxy”; meia hora depois, sob ataque de vários usuários, o site 4chan não resistiu e caiu! Lógico que a consequência disso foi a fama, não planejada, do programa LOIC que tanto ouvimos falar.

Apresento a vocês Boxxy: http://www.youtube.com/watch?v=kL_X-WxEMOs

Conhecendo os ataques DoS e DDoS

Não entrarei em detalhes sobre esses dois tipos de ataques, a ideia é só passar o conceito.

Basicamente o ataque Denial of Service (DoS) – Negação de Serviço – se faz através do envio de várias requisições para um site, por exemplo, este não consegue tratá-las em tempo, sobrecarregando-o e deixando fora do ar. O Distributed Denial of Service (DDoS) – Negação de Serviço Distribuído –  é mesma coisa, mas diferença entre o DoS e o DDoS é que no primeiro você tem um computador e uma conexão, já no segundo temos vários computadores e vária conexões, chamado de botnet. Assim no DDoS o site alvo será sobrecarregado por centenas, milhares de pedidos de requisições!

Uma analogia poderia ser você em seu trabalho quando o seu patrão começa a pedir mais e mais serviços, o que acontece? Você chuta seu patrão? Na maioria das vezes você se stressa e acaba sobrecarregado, podendo até ficar doente!

Aqui vai um parênteses meu: as vezes penso que o nome denial (negação) não é apropriado, isso porque o ataque não faz isso propriamente, e sim esse é o seu objetivo, sua consequência. Explicando meu ponto de vista: quando é feita uma requisição a um site e você obtém a resposta, o famoso three-way-handshake, ele é aberto no navegador; no DoS o que acontece é que são feitas tantas requisições e todas ao mesmo tempo que o site não dá conta, mas aí ele não está negando um serviço e sim está sob um forte stress; a negação só acontece quando ele cai e não é possível mais acessá-lo. Talvez um bom nome fosse Exhaustion of Service!

Finalmente sobre o LOIC

Enfim chegamos ao LOIC. Primeiramente vou descrever suas opções, na medida do possível visto que não existe, de acordo com minhas pesquisas, um “Leia-me” completo sobre o LOIC; depois como instalá-lo e por fim como usá-lo. Mais uma vez enfatizo: a ideia desse artigo é puramente de aprendizagem e não me responsabilizo pelos atos dos leitores.

Conhecendo o LOIC

Vamos então conhecer a interface desse software na versão 1.1.1.25, veja figura abaixo:

?

Inicialmente temos dois modos:

1.Manual – Manual Mode (Do it yourself)

2.IRC – IRC Mode (HiveMind)

Se escolher pelo IRC Mode terá que preencher os campos IRC Server, Port e Channel. Esse modo é mais usado em um ataque DDoS, onde o usuário faz referência a um servidor IRC de alguém e este aponta para o site desejado. Diz na documentação do NewEraCracker que ao fazer isso a pessoa que está sob o IRC apenas tem controle do LOIC e não de algum serviço remoto do computador de quem está “compartilhando”.

Quanto ao Manual Mode já não é preciso preencher os campos relacionados ao IRC é ó próprio usuário quem faz toda a operação (Do it yourself – Faça você mesmo).

  • Em Select your target ou coloca-se a URL do site alvo ou então o IP.
  • Em Attacks Options temos o campo TCP/UDP message, aí pode escrever o que quiser, apenas dê preferência ao sublinhado “_” em vez de espaço;
  • HTTP Subsite aí tem que especificar um subsite dentro do site principal, abaixo irei exemplificar melhor, usualmente não se mexe nessa opção.
  • A caixa Append random chars to the subsite /message se ticada vai anexar caracteres aleatórios nas mensagens e no subsite a fim de evitar bloqueios por parte dos servidores durante um ataque, útil para driblar mecanismos de cache.
  • Na opção Method escolhe um dos protocolos TCP, UDP ou HTTP.
  • Em Port é a porta a qual o LOIC irá tentar se conectar. A porta 80 é definida como padrão.
  • Threads é o número de conexões que o LOIC tenta estabelecer. Por padrão são 10, um valor muito alto pode deixar sua conexão lenta, já vi pessoas usando entre 25 a 9001.
  • Depois o Timeout especifica quanto tempo o LOIC deva esperar para que uma conexão seja estabelecida com o alvo, os valores são em milissegundos.
  • Acima temos o Speed Bar o qual controla a velocidade do ataque, ajuste conforme desejável.
  • Abaixo temos mais duas caixas: Wait for reply quando for usar TCP ou HTTP o LOIC primeiro aguarda a reposta do alvo antes de executar o ataque; Use Gzip (HTTP), ao ticar essa caixa estará habilitando o LOIC a usar o tipo de compressão Gzip, que são usados por muito sites a fim de comprimi-los antes de serem enviados aos servidores, otimizando assim, seu acesso pelos clientes; uma outra forma de compressão é o Deflate.
  • No alto temos o botão com inscrição IMMA CHARGIN MAH LAZER, que serve para disparar quando tudo estiver pronto.
  • Por fim temos Attack status a qual mostra as estatísticas do ataque. Se usar HTTP será mostrado a maioria das estatísticas, porém se usar TCP ou UDP será mostrado apenas o número de ataques executados. Vamos aos nomes: idle (ocioso), connecting (conectando), requesting (requisitando), downloading (‘baixando’), downloaded (‘baixado’), requested (requisitado), failed (fracassado). Note que usei as palavras aportuguesadas para download!

Instalando o LOIC

No Windows precisa ter instalado o Microsoft .NET Framework o mais atual. E no MAC ou Linux pode ser feito através do Mono ou Wine. Farei agora os passos de uma instalação no Ubuntu na data de hoje, ou seja, quaisquer futuras atualizações deve haver uma modificação:

Abra o Terminal e digite o que se segue:

$ sudo aptitude install monodevelop liblog4net-cil-dev

$ mkdir Loic

$ cd Loic/

~Loic$ wget https://github.com/downloads/NewEraCracker/LOIC/loic.v1.1.1.25.zip

~Loic$ gunzip loic.v1.1.1.25.zip (o descompactador que desejar)

~Loic/loic.v1.1.1.25$ cd source/

~Loic/loic.v1.1.1.25/source$ mdtool build

~Loic/loic.v1.1.1.25/source$ cd /bin/Debug/

~Loic/loic.v1.1.1.25/source/bin/Debug/$ mono LOIC.exe

$ Juízo na cachola!

Usando o LOIC

Usar esse programa é muito fácil. Só irei explicar o método manual:

  • Coloque a URL (www.exemplo.com.br) ou o IP do alvo;
  • Clique no botão Lock on;
  • Aguarde um pouco e o IP da URL irá aparecer em Selected Target;
  • Escreva uma mensagem para o alvo, no ataque do 4chan fora usada a seguinte mensagem: mods must destroy boxxy or pay the price, traduzindo: moderadores vocês precisam destruir boxxy ou pagarão o preço;
  • As outras opções é só escolher as configurações que desejar;
  • Por fim clique no botão IMMA CHARGIN MAH LAZER.

Sobre a opção HTTP Subsite, seria algo assim: www.exemplo.com.br/noticias.php

IMMA CHARGIN MAH LAZER

Uma das minhas maiores curiosidades foi sobre essa frase, encontrei algumas variações dela, mas todos significavam praticamente a mesma coisa. No começo pensei que fosse algum anagrama, depois percebi que é uma forma mais abreviada de escrita. Assim temos IMMA = I’m going to; CHARGIN = charging; MAH = my; LAZER = lazer mesmo. Juntando tudo fica I’m going to charging my lazer, que significa Estou indo carregar meu laser.

Esse mesmo botão também faz alusão ao mostro Cell Nigra, do anime Dragon Ball Z, um mostro com olhos esbugalhados, e uma boca com lábios tão vermelhos pela qual sai um laser, veja imagem abaixo.

JS LOIC

Existe outra versão do LOIC que não é preciso instalá-lo, ele é executado diretamente do navegador, baseado em JavaScript, daí o nome JS LOIC. Não é tão eficiente quanto o LOIC e não possui tantas opções, mas se usado por diversos usuários faz o mesmo estrago que o original.

Aqui temos uma versão em português: http://spudgy.net/loic.html

LOIC mantém o anonimato?

Essa é a preocupação de qualquer atacante: não ser detectado e/ou encontrado. E por incrível que pareça o LOIC não se preocupa com isso, ele simplesmente expõe o atacante, em outras palavras, ele é um dedo-duro!

Testes feitos em laboratório na Universidade de Twente (Holanda) demonstraram que o LOIC não toma nenhuma medida sofisticada em seus ataques como, por exemplo, IP Spoofing ou Reflected Attacks, para mascarar, ofuscar, ocultar o IP do atacante. Assim, ao fazer uso do LOIC o endereço IP da máquina que fez seu uso, vai junto. É como se um assaltando, após o roubo, deixasse seu RG de lembrança para vítima.

Prevenção de ataques via LOIC.

Existem algumas maneiras de se prevenir contra ataques de Negação de Serviço, são elas:

  1. Limitar o número de requisições por segundos para cada endereço IP. Isso pode ser feito via lighttpd juntamente com um firewall, o NetFilter (IPTables), por exemplo.
  1. Com firewalls que trabalham na camada 7 (modelo ISO/OSI), chamada de Aplicação.
  1. Filtragem de pacotes destinados a uma determinada rede. Em outras palavras, cada pacote deve ser verificado antes para saber se realmente é para aquela rede, se sim ele passa caso contrário é bloqueado. Lógico que dependendo da rede isso não é muito viável de se fazer;

  1. Um bom Sistema de Identificação de Intrusos (IDS), por exemplo, o Snort.

Conclusão

Vimos todo o funcionamento da ferramenta LOIC, assim como, o tipo de ataque que é proporcionado por ela, os riscos para quem a usa e as defesas para quem a teme!

Claro que o LOIC não é a única ferramenta que faz esse tipo de ataque, existe outras, entre elas, podemos citar: Trinoo (ou Trin00), Tribe Flood Network (TFN), Stacheldraht, Trinity.

Compartilhar:

Este post tem 13 comentários

  1. Grande explicação. Mas prefiro T50.

  2. Muito boa essa explicação sobre o LOIC, Parabéns….
    A questão do anonimato no LOIC realmente deixa a desejar… e muito! Mas nada que uma rede Wireless desprotegida ou com a senha quebrada não de conta do recado rsrs (Foi só uma idéia)
    Lembrando que: Cada um é responsável pelos seus atos e por seu caráter!

  3. Anderson e Azir obrigado pelos parabéns 🙂

    Pena que não pude testar o LOIC quanto ao envio de seus pacotes, gostaria de vê-los com mais detalhes… um dia quem sabe!

    Valeu

  4. HAHAHAHa, desculpem o vocabulario mas ficou MUITO FODA!
    Na vrdade eu ja sabia bastante sobre o LOIC era mais pro pessoal ficar sabendo dos perigos que tem!
    Me emocionei que você fez o post ao meu pedido *-* Diego <3
    HASUEHASUEASEHASUEASE
    Quem sabe fazer um outro exelente artigo falando sobre "Redes basicas" falando sobre o basicao deprotocolos de redes. Não sei se eh de teu conhecimento isso mas enfim, mais um tutorial sobre segurança!
    Gustavo, nao acha melhor fazer uma parte no blog de "Tutoriais"?
    PS: Nao usem o LOIC de má fé, ou seja, com justificativas que irão trazer algum ponto negativo à alguem!

  5. Parabéns! Muito bom!

  6. Fala Victor, valeu pelo f…!!! Eu entendi que você sabia sobre o LOIC sim, e que a sua intenção foi um pedido para mostrar tal ferramenta a quem não conhecia, foi mal pela confusão!

    Redes? Adoro Redes!!! Aí teria que priorizar alguns protocolos, vamos ver o que dá para fazer 😉

    Kalau obrigado pelos parabéns!!!

  7. Dieguito, eh legal falar sobre redes sem fio e Internet 🙂
    Afinal, podemos fazer um “Web Security Blog” aqui o/
    Esta ai uma boa pergunta, pq o WSF acabou realmente?

  8. Querida Sheena, fale mais sobre o ataque Denial of Sheena (DoS).

  9. Victor também é o nome do meu filho, e o chamam de Victinho hehehe.

    Fechado, sobre wireless 😉

    Sobre o WSF foi um evento de 2 dias, agora temos que esperar pelo próximo!

  10. Fala Vandeco… da próxima vez vou escrever um artigo contando o que você faz quando vai comer lá na baguete hehehe!

  11. Cara, meus parabens!!!! Grande explicação..experiência conta e muito, neh?

    Mas aki, gostaria de saber se vc tem alguns outros topicos/post com dicas ou tutoriais a respeito de REDES para iniciantes….

    Tks man’…..abraços

Deixe uma resposta

Fechar Menu