Ataque distribuído de negação de serviço (DDoS)
Um ataque distribuído de negação de serviço (DDoS) é uma tentativa de tornar um serviço on-line inacessível, atingindo-o com uma grande quantidade de tráfego de várias máquinas. Um ataque DDoS pode bloquear o acesso a servidores, dispositivos, bancos de dados, redes e aplicativos.
A diferença entre um ataque de DDoS e um ataque padrão de negação de serviço é que um ataque de DDoS vem de várias máquinas em vez de apenas uma. Vamos ver como isso é feito.
Como funcionam os ataques de DDoS
Um ataque DDoS começa com um botnet. Uma botnet é uma rede de computadores infectados com software malicioso projetado para ataques de DDoS e outros usos nefastos. Os usuários podem ser induzidos a baixar o software infectado por meio de e-mails de phishing, sites infectados e até redes sociais, aproveitando as explorações conhecidas em software e sistemas operacionais.
Depois que esses computadores são infectados, o botnet “wrangler” pode controlar todas essas máquinas sem o conhecimento do usuário remotamente a partir de um aplicativo. Quando a botnet cresce o suficiente, a rede pode ser usada para lançar um ataque contra qualquer alvo.
Quando uma botnet estiver pronta, o atacante poderá enviar um comando de inicialização que fará com que todas as máquinas da botnet enviem uma enxurrada de solicitações ao alvo pretendido. Se o ataque ultrapassar as defesas, ele poderá rapidamente dominar a maioria dos sistemas, causando interrupções no serviço e possivelmente travando servidores.
Muitos atacantes que criaram botnets oferecem seus serviços por um preço nos mercados on-line e da darknet, dando a qualquer pessoa a capacidade de lançar um ataque DDoS.
Tipos de ataques DDoS
Os ataques DDoS vêm de várias formas, dependendo do que o atacante está tentando fazer. As três categorias principais são ataques baseados em volume, ataques de protocolo e ataques na camada de aplicativo.
Ataque baseado em volume
Esse tipo de ataque tenta usar toda a largura de banda disponível entre o alvo e a Internet. Uma maneira de fazer isso é por meio da amplificação, que envolve inundar um servidor DNS com um endereço IP falsificado (o endereço IP do alvo), o que aciona respostas de DNS muito maiores para o alvo. Os protocolos SNMP e NTP também são usados em ataques baseados em volume. Eventualmente, as respostas que o alvo está recebendo obstruirão a rede e bloquearão o tráfego de entrada.
Ataque de protocolo
Os ataques de protocolo interrompem um serviço ao esgotar os recursos dos equipamentos de rede, como balanceadores de carga e firewalls. Esses ataques têm como alvo as camadas de rede e link de dados da pilha de protocolos. Um tipo de ataque de protocolo é chamado de inundação SYN. Esse tipo de ataque usa o handshake TCP para inundar uma rede. O botnet envia ao alvo uma grande quantidade de pacotes SYN de solicitação de conexão inicial TCP usando endereços IP falsificados. Os recursos da máquina alvo se esgotam, aguardando a etapa final de todas essas solicitações que nunca acontecerão.
Ataque na camada de aplicação
Esse tipo de ataque DDoS tem como alvo os aplicativos em execução na sua rede, especificamente os aplicativos da Web que respondem às solicitações HTTP. As solicitações HTTP são leves para um cliente, mas podem exigir muitos recursos do servidor para gerar a resposta. Uma solicitação pode envolver execução de código, várias solicitações de imagem e consultas ao banco de dados. Uma botnet usando um ataque na camada de aplicação pode derrubar um servidor simplesmente acessando a mesma página da web em cada um de seus nós ao mesmo tempo.
Sintomas de um ataque DDoS
Um sintoma de um ataque de DDoS é um site ou serviço que obviamente e repentinamente se tornou lento ou não responde, mas nem todo site lento está sendo atacado. Picos de tráfego e problemas legítimos no servidor podem causar o mesmo tipo de falta de resposta.
Para determinar se você está sob um ataque de DDoS, você precisará investigar mais a fundo com ferramentas de análise de tráfego para determinar que tipo de tráfego você está recebendo, de onde vem e para onde está indo. Alguns sinais de um ataque DDoS incluem:
- Quantidades anormais de tráfego provenientes de um único endereço IP ou intervalo de endereços
- Picos estranhos no tráfego que acontecem em horários estranhos do dia, por um período limitado de tempo ou que seguem um padrão
- Uma inundação repentina de tráfego para uma única página da web ou serviço
- Uma enxurrada de tráfego de usuários que têm um perfil semelhante, como geolocalização, versão do navegador ou tipo de dispositivo
Prevenção de ataques DDoS
Proteger uma rede contra um ataque DDoS não é a tarefa mais simples. Não é como malware ou vírus que você pode remover dos sistemas infectados. Os ataques de DDoS vêm de fora da rede e podem parecer tráfego normal até que você analise os detalhes. É importante agir rapidamente quando um ataque de DDoS for detectado, pois esses tipos de ataques podem derrubar um site ou serviço em minutos.
Proteja seu roteador
Seu roteador é o gateway de entrada e saída da sua rede. Se os bots em uma botnet não conseguirem passar pelo roteador, eles não poderão afetar nenhum serviço nele. É sua primeira linha de defesa e deve ser configurada para filtrar o tráfego por prioridade e bloquear quaisquer dados ou tráfego ameaçadores.
Dispositivos de IoT seguros
Muitas pessoas que protegem seus laptops e telefones não pensam duas vezes antes de deixar a senha padrão em seus dispositivos de IoT. Muitos dispositivos de IoT executam sistemas operacionais Linux completos que podem ser e foram alvo de malware que os transformará em bots em uma botnet. Eles são o alvo favorito por causa disso. Proteger seus dispositivos de IoT com uma senha forte evitará que eles se tornem outro bot em uma botnet.
Use o aprendizado de máquina
A detecção de um ataque de DDoS envolve análise de tráfego. É possível fazer isso manualmente, mas a tecnologia de aprendizado de máquina pode detectar tráfego malicioso rapidamente. O tráfego pode ser analisado em tempo real em busca de padrões e anomalias conhecidos de DDoS, e qualquer tráfego suspeito pode ser bloqueado antes que tenha a chance de desacelerar um serviço ou site.
Conclusão
Um ataque distribuído de negação de serviço ou DDoS é uma tentativa de bloquear o acesso a um site ou serviço inundando-o com solicitações para sobrecarregar o sistema. Os atacantes conseguem isso infectando um exército de máquinas com malware que eles podem usar para atacar qualquer site ou serviço que escolherem. A solução de problemas e a prevenção de ataques de DDoS não são simples e envolvem a análise do tráfego em busca de anomalias, mas com as ferramentas certas, os ataques de DDoS podem ser marginalizados ou evitados.