O que é um ataque DDoS

Publicado por Igor Matsunaga em


Um ataque de negação de serviço distribuído (DDoS) é uma tentativa mal-intencionada de interromper o tráfego normal de um servidor, serviço ou rede, sobrecarregando o alvo ou sua infraestrutura com uma enxurrada de tráfego da Internet. Ataques DDoS atingem a eficácia, se utilizando de vários sistemas de computadores comprometidos como fontes de tráfego de ataque. As máquinas exploradas podem incluir computadores e outros recursos em rede, como dispositivos IoT. A partir de um nível alto, um ataque DDoS é como um engarrafamento que obstrui a estrada, impedindo o tráfego regular de chegar ao destino desejado.

Ataque DDoS

Ataques DoS

Por serem muito parecidos, muitas pessoas confundem os ataques DoS com os DDoS. A principal diferença entre os dois é na forma com que eles são feitos. Enquanto o ataque DDoS é distribuído entre várias máquinas, o ataque DoS é feito por apenas um invasor que envia vários pacotes.

Os ataques DoS são bem mais fáceis de evitar com algumas regras em firewalls. Além disso, é preciso uma conexão de banda larga e um computador capaz de enviar muitos pacotes ao mesmo tempo para que esse tipo de ataque tenha sucesso.

Como funciona um ataque DDoS?

Um ataque DDoS requer que um invasor controle uma rede de máquinas on-line para realizar o ataque. Computadores e outras máquinas (como dispositivos de IoT) são infectados com malware , transformando cada um em um bot (ou zumbi). O invasor, então, tem controle remoto sobre o grupo de bots, que é chamado de botnet .

Uma vez que uma botnet tenha sido estabelecida, o atacante é capaz de direcionar as máquinas enviando instruções atualizadas para cada bot através de um método de controle remoto. Quando o endereço IP de uma vítima é visado pela botnet, cada bot responderá enviando solicitações ao destino, fazendo com que o servidor ou a rede segmentada atinja a capacidade de estouro, resultando em um tráfego de negação de serviço para o tráfego normal. Como cada bot é um dispositivo de Internet legítimo, separar o tráfego de ataque do tráfego normal pode ser difícil.

Esquema de como funciona um ataque DDoS (Foto: Gustavo Ats)

Quais são os tipos comuns de ataques DDoS?

Diferentes vetores de ataque DDoS visam componentes variados de uma conexão de rede. Para entender como os diferentes ataques DDoS funcionam, é necessário saber como uma conexão de rede é feita. Uma conexão de rede na Internet é composta de muitos componentes diferentes ou “camadas”. Como construir uma casa a partir do zero, cada passo no modelo tem um propósito diferente. O modelo OSI , mostrado abaixo, é uma estrutura conceitual usada para descrever a conectividade de rede em 7 camadas distintas.

Embora quase todos os ataques DDoS envolvam sobrecarregar um dispositivo de destino ou a rede com tráfego, os ataques podem ser divididos em três categorias. Um invasor pode usar um ou vários vetores de ataque diferentes ou criar vetores de ataque potencialmente baseados em medidas de contagem tomadas pelo alvo.

Ataques da Camada de Aplicação

O objetivo do ataque:

Às vezes referido como um ataque DDoS de camada 7 (em referência à sétima camada do modelo OSI), o objetivo desses ataques é liquidar os recursos do destino. Os ataques visam a camada em que as páginas da Web são geradas no servidor e entregues em resposta a solicitações HTTP . Uma única solicitação HTTP é tranquila de executar no lado do cliente e pode ser dispendioso para o servidor de destino responder, pois o servidor geralmente deve carregar vários arquivos e executar consultas de banco de dados para criar uma página da web. Os ataques de camada 7 são difíceis de defender, pois o tráfego pode ser difícil de ser sinalizado como malicioso.

Exemplo de ataque de camada de aplicativo:

Inundação HTTP

Esse ataque é semelhante a pressionar a atualização em um navegador da Web várias vezes em vários computadores diferentes – um grande número de solicitações HTTP inunda o servidor, resultando em negação de serviço.

Esse tipo de ataque varia de simples a complexo. Implementações mais simples podem acessar uma URL com o mesmo intervalo de endereços IP de ataque, referenciadores e agentes de usuário. Versões complexas podem usar um grande número de endereços IP de ataque e direcionar URLs aleatórios usando referenciadores aleatórios e agentes do usuário.

Protocolos de ataques

O objetivo do ataque:

Os ataques de protocolo, também conhecidos como ataques de exaustão de estado, causam uma interrupção no serviço consumindo toda a capacidade de tabela de estado disponível dos servidores de aplicativos da Web ou recursos intermediários, como firewalls e balanceadores de carga. Os ataques de protocolo utilizam pontos fracos na camada 3 e na camada 4 da pilha de protocolos para tornar o alvo inacessível.

Exemplo de ataque ao protocolo:

SYN Flood

Um análogo ao SYN Flood seria um trabalhador em uma sala de suprimentos que recebe solicitações da frente da loja. O trabalhador recebe uma solicitação, pega o pacote e aguarda a confirmação antes de levar o pacote para a frente. O trabalhador obtém muitas outras solicitações de pacote sem confirmação até não conseguir carregar mais pacotes, ficar sobrecarregado e as solicitações ficam sem resposta.

Este ataque explora o handshake TCP , enviando um alvo a um grande número de pacotes SYN de “Solicitação de Conexão Inicial” TCP com endereços IP de origem falsificados . A máquina de destino responde a cada solicitação de conexão e, em seguida, aguarda a etapa final do handshake, que nunca ocorre, esgotando os recursos do alvo no processo.

Ataques Volumétricos

O objetivo do ataque:

Essa categoria de ataques tenta criar congestionamento consumindo toda a largura de banda disponível entre o alvo e a Internet. Grandes quantidades de dados são enviadas para um alvo usando uma forma de amplificação ou outro meio de criar tráfego massivo, como solicitações de um botnet.

Exemplo de amplificação:

Amplificação de DNS

Uma Amplificação de DNS é como se alguém ligasse para um restaurante e dissesse “Eu tenho um de tudo, por favor, me ligue e me conte todo o meu pedido”, onde o número de telefone de retorno de chamada que eles dão é o número do alvo. Com muito pouco esforço, uma longa resposta é gerada.

Ao fazer uma solicitação para um servidor DNS aberto com um endereço IP falsificado (o endereço IP real do destino), o endereço IP de destino recebe uma resposta do servidor. O invasor estrutura a solicitação de forma que o servidor DNS responda ao destino com uma grande quantidade de dados. Como resultado, o alvo recebe uma amplificação da consulta inicial do invasor.

Qual é o processo para mitigar um ataque DDoS?

A principal preocupação na mitigação de um ataque DDoS é a diferenciação entre o ataque e o tráfego normal. Por exemplo, se uma versão do produto tiver um site da empresa inundado por clientes ansiosos, cortar todo o tráfego é um erro. Se essa empresa de repente tiver um aumento no tráfego de agentes mal-intencionados conhecidos, os esforços para aliviar um ataque provavelmente serão necessários. A dificuldade está em separar o cliente real e o tráfego de ataque.

Na Internet moderna, o tráfego de DDoS vem em muitas formas. O tráfego pode variar em design, de ataques a fontes únicas não fraudados a ataques multi-vetores complexos e adaptativos. Um ataque DDoS multi-vectorial usa vários caminhos de ataque para sobrecarregar um alvo de diferentes maneiras, potencialmente distraindo os esforços de mitigação em qualquer trajetória. Um ataque que atinja várias camadas da pilha de protocolos ao mesmo tempo, como uma amplificação de DNS (camadas de segmentação 3/4) associada a um flood HTTP (camada de segmentação 7) é um exemplo de DDoS de vários vetores.

Atenuar um ataque DDoS multi-vector requer uma variedade de estratégias para combater diferentes trajetórias. De modo geral, quanto mais complexo o ataque, maior a probabilidade de o tráfego ser difícil de separar do tráfego normal – o objetivo do invasor é misturar-se o máximo possível, tornando a mitigação o mais ineficiente possível. Tentativas de mitigação que envolvem derrubar ou limitar o tráfego indiscriminadamente podem expulsar o tráfego do ruim, e o ataque também pode modificar e adaptar-se para contornar as contra medidas. Para superar uma tentativa complexa de interrupção, uma solução em camadas dará o maior benefício.

Roteamento do buraco negro

Uma solução disponível para praticamente todos os administradores de rede é criar uma rota blackhole e direcionar o tráfego para essa rota. Em sua forma mais simples, quando a filtragem de blackhole é implementada sem critérios de restrição específicos, o tráfego de rede legítimo e mal-intencionado é roteado para uma rota nula ou blackhole e descartado da rede. Se uma propriedade da Internet estiver passando por um ataque DDoS, o provedor de serviços de Internet (ISP) da propriedade poderá enviar todo o tráfego do site para um buraco negro como uma defesa.

Taxa Limitando

Limitar o número de solicitações que um servidor aceitará em uma determinada janela de tempo também é uma forma de mitigar ataques de negação de serviço. Embora a limitação de taxa seja útil para impedir que os raspadores da Web roubem conteúdo e para reduzir as tentativas de login de força bruta, ela provavelmente será insuficiente para lidar com um ataque DDoS complexo de maneira eficaz. No entanto, a limitação de taxa é um componente útil em uma estratégia eficaz de mitigação de DDoS.

Firewall de Aplicação Web

Um Web Application Firewall (WAF) é uma ferramenta que pode ajudar a atenuar um ataque DDoS de camada 7. Ao colocar um WAF entre a Internet e um servidor de origem, o WAF pode atuar como um proxy reverso, protegendo o servidor alvo de certos tipos de tráfego mal-intencionado. Ao filtrar solicitações com base em uma série de regras usadas para identificar ferramentas DDoS, os ataques da camada 7 podem ser impedidos. Um dos principais valores de um WAF efetivo é a capacidade de implementar rapidamente regras personalizadas em resposta a um ataque.

Difusão de Rede Anycast

Essa abordagem de mitigação usa uma rede Anycast para dispersar o tráfego de ataque em uma rede de servidores distribuídos até o ponto em que o tráfego é absorvido pela rede. Assim como canalizar um rio correndo por canais menores separados, essa abordagem espalha o impacto do tráfego de ataque distribuído até o ponto em que se torna gerenciável, difundindo qualquer capacidade disruptiva.

A confiabilidade de uma rede Anycast para mitigar um ataque DDoS depende do tamanho do ataque e do tamanho e eficiência da rede. Uma parte importante da mitigação de DDoS implementada pela famosa Cloudflare é o uso de uma rede distribuída Anycast. O Cloudflare possui uma rede de 25 Tbps, que é uma ordem de magnitude maior que o maior ataque DDoS registrado.

Que a segurança esteja com você!

Fonte: Cloudflare 


Igor Matsunaga

Diretor Técnico da NSWorld, entusiasta da área hacking, desenvolvedor hacker ético, formado em Segurança da Informação.

0 comentário

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *