O que é DDoS Attack?
DDoS, abreviação de “distributed-denial-of-service”, é um ataque cibernético que tenta interromper um servidor ou rede, inundando-o de tráfego falso na Internet, impedindo o acesso do usuário e interrompendo as operações.
O objetivo de um ataque DDoS é interromper a capacidade de uma organização de servir seus usuários.
Os criminosos usam os ataques DDoS para:
- sabotagem de concorrentes
- vingança interna
- invasão de atividades do estado-nação
Qual é a diferença entre DDoS e DoS Attacks?
A principal diferença entre um ataque de DDoS e um ataque de DoS é a origem do ataque. Os ataques DDoS são lançados a partir de múltiplos sistemas, enquanto os ataques DoS (negação de serviço) têm origem em apenas um sistema.
Ataques DDoS são mais rápidos e mais difíceis de bloquear do que os ataques DOS. Já os ataques DoS, são mais fáceis de bloquear porque existe apenas uma máquina atacante para identificar.
Como funciona um DDoS Attack?
É impossível discutir os ataques DDoS sem discutir sobre botnets.
Botnet é uma rede de computadores infectados com malware que permite aos autores maliciosos controlar os computadores remotamente.
Estas redes de bots são “distribuídas” porque podem estar localizadas em qualquer lugar e pertencer a qualquer pessoa. Os proprietários inocentes de computadores infectados podem nunca saber que seus sistemas fazem parte de uma rede de botnets.
Após construir uma rede de bots enorme de milhões de dispositivos comprometidos, um atacante DDoS direciona remotamente cada bot para enviar pedidos ao endereço IP do alvo.
O objetivo é exceder os limites de capacidade dos recursos web da vítima com um número esmagador de solicitações de conexão ou dados para, por fim, interromper seu serviço.
Tipos de Ataques DDoS
Os ataques DDoS podem ser classificados de várias maneiras, mas é comum agrupá-los em três tipos:
1. Ataque volumétrico
As botnets enviam grandes quantidades de tráfego falso para
um recurso. Este tipo de ataque pode usar enchentes de ping, enchentes de
pacotes falsificados ou enchentes de UDP. Um ataque baseado em volume é medido
em bits por segundo (BPS).
2. Ataques de camadas de rede
Ataques de camada de rede, também conhecidos como ataques de
protocolo, enviam inúmeros pacotes a um alvo. Um ataque na camada de
rede não requer uma conexão aberta do Protocolo de Controle de Transmissão
(TCP) e não tem como alvo uma porta específica. Um ataque na camada de rede é
medido em pacotes por segundo (PPS).
Exemplos de um ataque da camada de rede incluem:
Ataque de Smurf: Tentativa de inundar um servidor ao nível
de rede usando pacotes de Protocolo de Mensagem de Controle de Internet (ICMP)
e explorando vulnerabilidades de IP.
Inundação do SYN: Inicia uma conexão a um servidor sem
fechar essa conexão, sobrecarregando os servidores como resultado. Este tipo de
ataque utiliza uma grande quantidade de pedidos de handshake TCP com endereços
IP falsificados.
3. Ataques de camada de aplicação
Ataques na camada de aplicação exploram solicitações comunscomo HTTP GET e HTTP POST. Estes ataques impactam tanto os recursos do servidor quanto os da rede, portanto, o mesmo efeito perturbador de outros tipos de
ataques DDoS pode ser alcançado com menos largura de banda.
Distinguir entre tráfego legítimo e malicioso nesta camada é difícil porque o tráfego não é falsificado e, portanto, parece normal. Um ataque de camada de aplicação é medido em pedidos por segundo (RPS).
Enquanto a maioria dos ataques são baseados em volume, há também ataques DDoS “baixos e lentos” que evitam a detecção enviando pequenos fluxos constantes de pedidos que podem degradar o desempenho não observado por longos períodos de tempo.
Ataques baixos e lentos visam servidores web baseados em segmentos e fazem com que os dados sejam transmitidos aos usuários legítimos muito lentamente, mas
não o suficiente para causar um erro de timeout.
Algumas ferramentas usadas em ataques baixos e lentos incluem Slowloris, R.U.D.Y., e Sockstress.
Quais são os sinais de um ataque DDoS?
As vítimas de ataques DDoS geralmente notam que sua rede, website ou dispositivo está funcionando lentamente, ou não está prestando serviço.
Entretanto, estes sintomas não são exclusivos dos ataques DDoS – eles podem ser causados por muitas coisas, tais como um servidor com mau funcionamento, um aumento no tráfego legítimo, ou mesmo um cabo quebrado.
É por isso que você não pode simplesmente confiar em observações manuais e, em vez disso, deve utilizar uma ferramenta de análise de tráfego para detectar ataques de negação de serviço distribuídos.
Como proteger-se de ataques DDoS?
A defesa de DDoS requer uma abordagem multifacetada – nenhuma ferramenta única pode garantir proteção completa contra todos os tipos de ataques DDoS. Abaixo estão algumas ferramentas básicas a serem adicionadas ao seu arsenal:
Avaliação de risco:
As empresas devem empregar uma abordagem proativa na proteção contra ataques de DDoS. O primeiro passo é estar ciente de todas as vulnerabilidades e pontos fortes de sua empresa. Conduzir avaliações de risco em todos os seus ativos digitais (ou seja, redes, servidores, dispositivos, software) para estar preparado com o melhor plano de mitigação quando chegar o momento.
Firewall de Aplicação Web (WAF):
Um WAF é como um ponto de verificação para aplicações web, pois é usado para monitorar as solicitações de tráfego HTTP de entrada e filtrar o tráfego malicioso.
Quando um ataque DDoS na camada de aplicação é detectado, as políticas WAF podem ser rapidamente alteradas para limitar a taxa de solicitações e bloquear o tráfego malicioso, atualizando sua Lista de Controle de Acesso (ACL).
Informações de segurança e gerenciamento de eventos (SIEM):
Um SIEM é uma ferramenta que retira dados de cada canto de um ambiente e os agrega em uma única interface centralizada, proporcionando visibilidade de atividades maliciosas que podem ser usadas para qualificar alertas, criar relatórios e apoiar a resposta a incidentes.
Redes de Entrega de Conteúdo/Balanceadores de Carga:
Os CDNs e balanceadores de carga podem ser usados para mitigar o risco de sobrecarga do servidor e os subsequentes problemas de desempenho/disponibilidade, distribuindo automaticamente os fluxos de tráfego por vários servidores.
Roteamento de Blackhole Routing:
Durante o roteamento de buracos negros, o administrador da rede empurra todo o tráfego, seja bom ou ruim, através de uma rota de buracos negros. O objetivo é abandonar TODO o tráfego da rede, o que vem com o lado negativo de perder tráfego legítimo e potencialmente algum negócio.
Limitação da taxa:
Limite o número de solicitações de serviço que sua rede recebe e aceita em um determinado período. Normalmente não é suficiente para combater ataques DDoS mais sofisticados, por isso deve ser utilizado juntamente com outras estratégias de mitigação.
FONTE:
What is DDoS Attack? (Abril 2023) – CrowdStrike
Douglas Bernardini
Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.
Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)
Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.
Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).