Ataque DDoS: o que é ?
Com o aumento significativo do volume de dados trafegados no mundo web, os ataques distribuídos de negação de serviço (DDoS) são cada vez mais frequentes. Você sabe o que é e como atua essa ameaça? Nós vamos ajudar você a entender!
Um ataque DDoS, ou ataque de negação de serviço, é uma tentativa de tornar indisponível um serviço online, uma rede, um servidor ou um aplicativo, sobrecarregando-o com o tráfego de várias fontes comprometidas e bloqueando o tráfego legítimo.
Um ataque DDoS afeta não apenas o serviço alvo, mas também usuários legítimos desse serviço e todos os sistemas afetados com malware usados para participar do ataque.
Nós já ouvimos sobre este tema em notícias, desde o infame ataque de botnet Mirai 2016 que afetou boa parte do leste dos Estados Unidos, até o recente ataque contra o GitHub. Agora explicaremos exatamente o que é um ataque de DDoS
O que é e como funciona um ataque DDoS?
Imagine uma empresa movimentada em que alguém, apenas por diversão, puxa o alarme de incêndio e corre gritando: “FOGO!”. Imediatamente, centenas de pessoas fazem contato com os bombeiros de uma só vez.
Em consequência deste alerta de incêndio ilegítimo, as linhas telefônicas são inundadas pelos contatos realizados e os agentes se esforçam para atender a cada uma das chamadas.
Entretanto, simultaneamente ocorre uma emergência legítima em toda a cidade, e os cidadãos que tentam relatar essa emergência encontram dificuldades de contato com os agentes dos bombeiros, porque estão dedicados ao atendimento das diversas chamadas referentes ao incêndio fraudulento da empresa.
O ataque DDoS ocorre de forma bem semelhante, em que solicitações de recursos legítimos são bloqueadas, enquanto os sistemas tentam suportar e direcionar grandes quantidades de tráfego falso, mas de aparência legítima.
Os agressores variam entre indivíduos, serviços de contratação de DDoS, vândalos cibernéticos, organizações criminosas e agências governamentais. Muitas vezes, os ataque acontecem de forma acidental devido a códigos ruins, sistemas desatualizados ou a sincronização de eventos.
As motivações para um ataque DDoS variam e incluem extorsão, rivalidade, competição de negócios, protestos políticos e sociais e retaliação.
No caso do ataque de botnet Mirai 2016, a motivação original era, na verdade, os jogos online e o ganho financeiro, embora o código bot do Mirai fosse provavelmente usado por outras razões, que podem nunca ser conhecidas.
Que tipos de serviços os ataques DDoS afetam?
Qualquer serviço online pode ser afetado, mas na maioria das vezes, websites de serviços financeiros, de jogos e de notícias são os principais alvos. Normalmente, o agressor está tentando enviar uma mensagem, política ou não, bloqueando o acesso à informação.
Vale a pena observar que, a menos que você tenha um host que esteja agindo como parte da botnet, normalmente, seus dados e informações não correm risco durante um ataque de negação de serviço distribuído — apenas seu acesso a eles.
No entanto, um ataque pode sobrecarregar ou distrair as equipes de rede e segurança, permitindo uma janela de oportunidade para um criminoso comprometer os sistemas de outras maneiras para roubar informações, como com um Ransomware.
Isso é perigoso, porque o ataque mais específico ou direcionado destinado a acessar sistemas e extrair dados está oculto por trás do ataque DDoS que está sendo atualmente atenuado.
Quem são os “jogadores” em um ataque DDoS?
1. Atacantes ou agentes maliciosos
Obviamente, há a pessoa ou pessoas que estão cometendo o ataque e estão usando um dispositivo para fazer a orquestração. Pode ser o celular, o laptop, a área de trabalho ou qualquer outro dispositivo conectado do invasor. Ele pode escrever o código usado para infectar os bots ou usar o código de outra pessoa.
2. Servidor de comando e controle
Inicialmente, o hacker encontra um sistema mestre para usar como servidor de comando e controle. Este sistema está geralmente vulnerável devido à falta de patches ou segurança fraca. O invasor pode infectar esse mestre com malware ou usar outros meios para invadir o sistema.
Uma vez que eles tenham controle sobre o sistema, o atacante pode então configurar uma botnet — uma rede de outros sistemas vulneráveis que o criminoso pode controlar a partir do servidor de comando e controle.
3. Botnet e bots
Uma botnet é uma rede de hosts online (geralmente chamados de bots ou zumbis) que foram infectados por malware, permitindo que o invasor, por meio do servidor de comando e controle, instrua esses hosts a enviar grandes volumes de tráfego para o serviço alvo.
O botnet atua como um exército comandado pelo servidor de comando e controle e pelo invasor. Esses bots podem ser desde dispositivos mobile, notebooks, roteadores e servidores até dispositivos da Internet das Coisas (IoT), como câmeras de segurança e dispositivos de automação residencial.
Normalmente, os bots são distribuídos ao redor do mundo usando diferentes provedores de serviços. Ao distribuir a origem do tráfego e usar máquinas host reais, o tráfego gerado parece legítimo, dificultando muito a identificação e a filtragem do tráfego mal-intencionado do que é legítimo.
Além disso, o invasor na verdade não está violando nenhum protocolo de segurança do serviço segmentado, pois todo o tráfego está chegando por meio de métodos legítimos.
Como uma nota lateral, uma vez que uma botnet foi criada, ela pode ser usada para outras finalidades, como esquemas de bots de clique. Os botnets existentes também podem ser alugados, reduzindo o tempo que leva para que um perpetrador ative seu ataque. Ao utilizar uma botnet, o atacante real é muito difícil de identificar e rastrear devido ao volume de sistemas participantes.
4. Alvo do ataque
Estes são os serviços, aplicativos ou redes que estão sendo segmentados pelo ataque DDoS. O ataque pode causar interrupções ou tempos de resposta lentos, levando a clientes irritados, funcionários estressados, danos à marca e grandes perdas de receita, além de outros problemas.
Serviços de emergência, comunicação, transmissão de notícias, transações monetárias e outros são frequentemente afetados.
Quais os principais tipo de ataques DDoS?
Diferentes técnicas de ataque de negação de serviço esgotam ou saturam o sistema alvo de diferentes maneiras. Existem três tipos comuns de ataques: ataques volumétricos, ataques a protocolos e ataques a aplicativos.
Cada uma delas pode durar de minutos a meses e pode variar de uma quantidade de tráfego imperceptível à taxa de transferência mais alta registrada,.
Ataques volumétricos
Estes ataques saturam a largura de banda usada pelos sistemas visados. Essa técnica é a mais comum e a mais simples para os invasores realizarem. Muitas vezes, os atacantes usam técnicas de amplificação para gerar esse tráfego e evitar a necessidade de um número extremamente grande de recursos.
Ataques de amplificação
Estes ataques utilizam grandes respostas a pequenos pedidos, amplificando o tráfego para inundar o alvo. Isso geralmente é feito falsificando a origem dos pacotes, conhecida como um ataque de reflexão.
Por exemplo, ao falsificar o IP de origem de uma solicitação de DNS, um invasor pode enganar os servidores DNS para enviar respostas ao destino em vez do originador. Como a solicitação enviada ao servidor DNS é pequena, mas a resposta enviada à vítima é grande, o invasor está usando a reflexão para ampliar o volume de tráfego enviado ao destino.
Usando a metáfora acima, se houvesse pessoas suficientes na boate para saturar o sistema telefônico com suas chamadas, fazendo com que os contatos legítimos experimentassem chamadas de qualidade inferior ou a incapacidade de fazer uma chamada, seria como um ataque volumétrico.
Ataques de protocolo
Já estes ataques consomem toda a memória, núcleos de processador e sobrecarregam os recursos de equipamentos e / ou redes entre o sistema visado e o usuário final.
Em nosso exemplo acima, seria análogo aos operadores que atendem cada chamada e os colocam em espera enquanto respondem a mais chamadas. Eventualmente, todas as linhas são preenchidas com chamadas em espera e as elas acabam sendo descartadas.
Os ataques na camada de aplicação são os mais eficazes e podem ser muito difíceis de detectar e mitigar. Esses ataques não usam necessariamente uma grande quantidade de tráfego em comparação com os outros tipos de ataques.
O alvo do ataque DDoS é um aspecto do servidor ou aplicativo. Todo o tráfego parece ser normal, então o aplicativo tenta responder a cada um deles e fica sobrecarregado.
Se os operadores na metáfora da boate respondessem da mesma forma para cada chamada, tratando as não emergenciais e não legítimas da mesma forma que as chamadas de emergência (ou seja, não redirecionando-as para um número não emergencial), elas estariam sobrecarregadas e chamadas de emergência legítimas não seriam respondidas.
Outros tipos de ataques DDoS
Mais recentemente, os invasores têm usado vários vetores de ataque ao mesmo tempo, dificultando a defesa. Eles são chamados de ataques avançados de negação de serviço persistente (APDoS). Além disso, os ataques DDoS evoluem à medida que a tecnologia evolui, dificultando a manutenção dos defensores.
Por exemplo, a adoção de dispositivos IoT forneceu aos invasores um número cada vez maior e uma variedade de dispositivos conectados à Internet para explorar, o que significa que até mesmo a lâmpada inteligente ou a escova de dentes inteligente podem se tornar parte de uma botnet.
Além disso, o provedor de serviços de um alvo pode ser atacado em vez do próprio alvo, dificultando a identificação da causa e até mesmo do destino pretendido. Isso faz com que um público muito maior seja afetado, já que muitos sistemas e serviços não intencionais também serão atacados.
No futuro, os desenvolvedores de códigos de malware provavelmente usarão inteligência artificial e aprendizado de máquina para permitir que eles mudem dinamicamente seu ataque à medida que ele avança para contornar as técnicas de mitigação.
Agora que você já sabe como um ataque DDoS funciona, que tal continuar aprendendo sobre como proteger o ambiente de TI da sua empresa? Acompanhe nosso blog e veja mais artigos como esse!
