Conteúdo
O que é um ataque DDoS e como ele funciona? Recentemente, os ataques distribuídos de negação de serviço (DDoS) no setor de TI aumentaram constantemente.
Anos atrás, os ataques DDoS eram considerados um incômodo por invasores iniciantes que faziam isso por diversão e eram relativamente fáceis de mitigar. Infelizmente, este não é mais o caso. Os ataques DDoS são agora uma atividade complexa e, em muitos casos, um grande negócio.
Nos últimos anos, vimos um aumento exponencial nos ataques DDoS que paralisaram as empresas por longos períodos de tempo.
Em fevereiro de 2020, a Amazon Web Services (AWS) sofreu um ataque DDoS sofisticado o suficiente para manter sua equipe de resposta a incidentes ocupada por alguns dias, o que também afetou clientes em todo o mundo.
Em fevereiro de 2021, a exchange de criptomoedas EXMO foi vítima de um ataque DDoS que deixou a organização inoperante por quase cinco horas.
Recentemente, a Austrália sofreu um ataque DDoS grave, persistente e patrocinado pelo Estado.
A Bélgica também é vítima de ataques DDoS contra o parlamento, o departamento de polícia e as universidades do país.
Centenas de milhares de ataques DDoS não identificados, não documentados, mas bem-sucedidos, ocorrem todos os dias. Na verdade, são esses ataques que são os mais eficazes e caros. Espera-se que a tendência ascendente em DDoS continue, colocando uma alta demanda por profissionais de TI com habilidades de mitigação.
O que é um ataque DDoS?
Apesar de se tornarem mais comuns, os ataques DDoS podem ser muito avançados e difíceis de combater. Mas o que exatamente é um ataque DDoS e o que significa DDoS?
DDoS é um acrônimo para Distributed Denial of Service (Ataque de negação de serviço). Um ataque DDoS ocorre quando um agente de ameaça usa recursos de vários locais remotos para atacar as operações online de uma organização. Normalmente, os ataques DDoS se concentram na geração de padrões que manipulam dispositivos e serviços de rede (por exemplo, roteadores, serviços de nomenclatura ou serviços de cache) ou até mesmo ataques funcionais. Na verdade, esse é o principal problema.
Ataques DDoS sofisticados não precisam necessariamente explorar configurações padrão ou retransmissões abertas. Eles exploram o comportamento normal e exploram como os protocolos executados nos dispositivos atuais foram originalmente projetados. Assim como os engenheiros sociais manipulam o funcionamento padrão das comunicações humanas, os invasores DDoS manipulam o funcionamento normal dos serviços da Web em que todos confiamos.
Quando ocorre um ataque DDoS, um ou mais serviços da organização alvo são seriamente comprometidos porque o ataque inundou seus recursos com solicitações e tráfego HTTP, negando acesso a usuários legítimos. Entre os ataques de engenharia social, ransomware e cadeia de suprimentos, os ataques DDoS são uma das quatro principais ameaças à segurança cibernética do nosso tempo.
Evitando confusão sobre ataques DDoS
É relativamente fácil confundir ataques DDoS com outras ameaças cibernéticas. Na verdade, os profissionais de TI e até mesmo os profissionais de segurança cibernética têm um conhecimento muito ruim de como funcionam os ataques DDoS.
Em um ataque DDoS, os cibercriminosos exploram o comportamento normal que ocorre entre dispositivos de rede e servidores, geralmente visando dispositivos de rede que estabelecem uma conexão com a Internet. Portanto, os invasores se concentram em dispositivos de rede de borda (por exemplo, roteadores, switches) em vez de servidores individuais. Um ataque DDoS sobrecarrega um canal de rede (largura de banda) ou o dispositivo que fornece essa largura de banda.
Aqui está uma analogia útil: imagine várias pessoas ligando para você ao mesmo tempo, para que você não possa fazer ou receber chamadas ou usar seu telefone para qualquer outra finalidade. Esse problema persiste até que você bloqueie essas chamadas por meio de seu ISP.
Observe que você não corrigirá, atualizará ou ajustará seu dispositivo móvel real. Em vez disso, você pode usar o serviço de bloqueio de sua operadora de celular para corrigir a conexão entre o invasor e seu telefone.
Algo semelhante acontece durante um ataque DDoS. Em vez de modificar o recurso que está sendo atacado, você aplica patches (também conhecidos como mitigações) entre a rede e os agentes de ameaças.
DDoS vs DoS: Qual é a diferença?
É importante evitar confundir ataques DDoS (Distributed Denial of Service) com ataques DoS (Denial of Service). Embora apenas uma palavra separe os dois, a natureza desses ataques varia muito.
- Estritamente definido, um ataque DDoS típico manipula muitos dispositivos de rede distribuídos entre o invasor e a vítima para realizar ataques involuntários explorando o comportamento legítimo.
- Os ataques DoS tradicionais não usam vários dispositivos distribuídos e não se concentram em dispositivos entre invasores e organizações. Esses ataques também tendem a não usar vários dispositivos de Internet.
Um ataque DoS típico pode incluir o seguinte:
- Inundação de SYN de fonte única: Isso ocorre quando um invasor usa um único sistema para emitir um ataque de inundação de pacote SYN manipulando o handshake de três vias TCP típico. Por exemplo, uma inundação de SYN que alguém pode gerar com um computador Kali Linux não é um verdadeiro ataque DDoS, pois o ataque é realizado a partir de apenas um dispositivo. Isso é verdade mesmo se o invasor usar falsificação de endereço IP. Para dispositivos em nível de rede, o ataque DDoS real é gerado por dispositivos em nível de rede. Em outras palavras, você usa vários roteadores ou servidores Memcached para atacar a rede.
- “Dead ping”: Anos atrás, alguns drivers de rede continham códigos com erros que travavam o sistema se ele recebesse um pacote ICMP com determinados parâmetros.
- Ataque de loris lento: um ataque de loris lento é frequentemente chamado de ataque DDoS, mas como o ataque tem como alvo um servidor específico (neste caso, um servidor da Web) e geralmente não usa um dispositivo de rede intermediário, geralmente é um ataque DOS tradicional.
Cada um dos ataques DoS descritos acima explora uma fraqueza de software ou kernel em um host específico. Para corrigir isso, você precisa corrigir o host e/ou filtrar o tráfego. Se você puder atualizar seu servidor para mitigar o ataque, ele não estará qualificado para um ataque DDoS tradicional.
Lembre-se de que em ataques DDoS, os agentes de ameaças empregam táticas de consumo de recursos. Essa estratégia envolve sobrecarregar um sistema que não é legítimo com solicitações aparentemente legítimas, causando problemas no sistema.
Tipos de ataques DDoS
Os ataques DDoS são geralmente classificados em três tipos.
1. Camada de Aplicação
2. Protocolo
3. Volumétrico
Em alguns casos, os profissionais de TI e segurança cibernética veem os ataques DDoS baseados em protocolos e aplicativos como uma categoria.
Quem executa ataques DDoS?
Você costuma ver imagens de homens mascarados malvados para simbolizar atores de ameaças malévolos. Na verdade, esses grupos de invasores geralmente são bem conhecidos pela aplicação da lei e usam táticas DDoS para ganhar influência, interromper operações governamentais e militares ou causar perda de confiança em indústrias, marcas de empresas ou instituições de longa data.
Independentemente da motivação que impulsiona esses ataques, os hackers podem ser facilmente contratados para ajudar a lançar ataques DDoS – basta alugá-los como armas. Indivíduos ou grupos de negócios inteiros podem ser alugados na dark web, geralmente em um modelo de serviço semelhante à infraestrutura como serviço (IaaS) ou software como serviço (SaaS). De fato, a Radware emitiu um alerta de segurança global em agosto de 2020 em resposta aos ataques DDoS cada vez mais prevalentes.
As razões por trás de um ataque DDoS
Para evitar ataques DDoS, é importante entender o que causou o incidente. Embora os ataques DDoS variem amplamente em sua natureza tática e metodológica, os invasores DDoS também podem ter uma variedade de motivações, incluindo as seguintes.
- Financeiro: os ataques DDoS geralmente são combinados com ataques de ransomware. O invasor envia uma mensagem para notificar a vítima de que o ataque será interrompido se a vítima pagar a taxa. Esses atacantes geralmente fazem parte de grupos do crime organizado. Hoje, no entanto, esses sindicatos podem ser apenas uma dúzia de pessoas, com conhecimento de rede e tempo extra. Às vezes, as empresas rivais até DDoS umas às outras para obter uma vantagem competitiva.
- Ideológica: Os ataques geralmente visam instituições governamentais opressoras ou manifestantes em situações políticas. Esses ataques DDoS geralmente são realizados para apoiar um interesse político específico ou sistema de crenças, como religião.
Motivos apoiados pelo Estado: Quando a agitação política ou a dissidência se tornam aparentes, os ataques DDoS geralmente são realizados para causar caos aos militares ou civis. - Tático: neste caso, o ataque DDoS foi realizado como parte de uma campanha maior. Em alguns casos, a atividade inclui ataques físicos ou uma série de outros ataques baseados em software. Por exemplo, os militares são conhecidos por combinar ataques DDoS com ataques físicos. Os ataques táticos são usados para desviar a atenção das tarefas normais de TI para explorar um alvo diferente – o antigo ataque cibernético de chamariz e trocar.
- Comerciais/econômicos: Esses ataques DDoS ajudam a coletar informações ou causam danos a setores específicos da indústria. Por exemplo, ataques a empresas como Sony, British Airways e Equifax fizeram com que os consumidores perdessem a confiança na indústria como um todo.
- Extorsão: Outros ataques são usados para obter algum ganho pessoal ou monetário por meio da extorsão.
Ferramentas que executam ataques DDoS
Os invasores usam uma variedade de dispositivos para atacar organizações. Aqui estão algumas ferramentas comuns usadas em ataques DDoS:
Serviços: Inclui Memcached (para acelerar banco de dados e transações baseadas na web), servidor DNS, NTP e SNMP.
Equipamento de rede: O equipamento de rede inclui itens como roteadores e switches.
Botnet: Uma coleção de sistemas infectados comumente usados em ataques DDoS.
Dispositivos IoT: os cibercriminosos podem explorar as fraquezas dos dispositivos conectados e transformá-los em zumbis. O infame botnet Mirai foi usado para lançar uma série de ataques usando babás eletrônicas não seguras.
AI: os hackers estão usando inteligência artificial para modificar automaticamente o código durante ataques DDoS para que os ataques permaneçam eficazes apesar das proteções.
Exploração de dispositivos mais antigos: o hardware mais antigo geralmente é exposto a mais vulnerabilidades e geralmente é direcionado e explorado.
5 etapas para resposta a ataques DDoS
As etapas típicas para responder a um ataque DDoS incluem:
- Detecção:
A detecção precoce é fundamental para a defesa contra ataques DDoS. Procure os sinais de alerta fornecidos acima de que você pode ser alvo. A detecção de DDoS pode envolver a sondagem do conteúdo dos pacotes para detectar ataques de camada 7 e baseados em protocolo, ou usar medidas baseadas em taxa para detectar ataques volumétricos. Ao falar sobre ataques DDoS, a detecção baseada em taxa geralmente é discutida primeiro, mas o uso da detecção baseada em taxa não impede os ataques DDoS mais eficazes. - Filtragem:
O processo de filtragem transparente ajuda a eliminar o tráfego indesejado. Isso é feito instalando regras efetivas em dispositivos de rede para eliminar o tráfego DDoS.
- Desvio e redirecionamento:
Essa etapa envolve o desvio de tráfego para que ele não afete seus recursos críticos. Você pode redirecionar o tráfego DDoS enviando-o para um centro de depuração ou outro recurso que atue como um coletor. Geralmente, é recomendável que você comunique o que está acontecendo de forma transparente para que funcionários e clientes não precisem mudar seu comportamento para acomodar a desaceleração. - Encaminhamento e Análise:
É importante entender as fontes dos ataques DDoS. Esse conhecimento pode ajudá-lo a desenvolver protocolos para se defender proativamente contra ataques futuros. Embora possa ser tentador matar um botnet, isso cria problemas logísticos e consequências legais. Geralmente não recomendado.
- Entrega alternativa:
Recursos alternativos podem ser usados para entregar novo conteúdo quase imediatamente, ou novas conexões de rede podem ser abertas no caso de um ataque.
Termos a conhecer
- ACK: pacote de reconhecimento
- DNS: sistema de nomes de domínio
- HTTP: protocolo de transferência de hipertexto
- ICMP: Protocolo de mensagens de controle da Internet
- OSI/RM: Modelo de Referência/Interconexão de Sistemas Abertos
- Resposta a incidentes: etapas a serem seguidas ao gerenciar um ataque DDoS.
- SYN: Sincronizar pacote
- Inundação SYN: onde um invasor manipula o handshake TCP de três vias para criar um ataque DDoS.
- TCP: protocolo de controle de transmissão
- Aperto de mão TCP: Um processo de três etapas que ocorre sempre que dois computadores se comunicam no início de uma sessão TCP. Também conhecido como handshake de três vias TCP.
- UDP: protocolo de datagrama do usuário
Leia também: Carreira em segurança da informação: o que aprender?