O que é um Ataque DDoS? - TechRobot

O que é um Ataque DDoS?

Há mais chances do que não de você ter ouvido falar sobre um site que foi derrubado por hackers ou que um site popular tenha caído. A maioria dessas indisponibilidades em sites populares e de alto tráfego são causadas por ataques de Negação de Serviço Distribuído (DDoS).

Existem limites para a largura de banda do tráfego que um dispositivo de rede pode manipular. O limite mencionado depende de fatores como a capacidade de processamento do dispositivo, o limite de dados do nó de conexão (switch ou roteador) e a velocidade máxima de conexão e largura de banda permitidas pelo Provedor de Serviços de Internet (ISP).

Como tudo isso culmina em causar inatividade em um site? Como esses ataques ocorrem? Este artigo será um exposé sobre ataques DDoS e como evitá-los ou preveni-los.

Uma Análise de um Ataque DDoS Típico

Hackers iniciam ataques DDoS recrutando primeiro um exército de computadores vulneráveis, popularmente referido como um Botnet. Botnets são uma série de computadores e dispositivos interconectados que foram comprometidos por malware. Os botnets são então usados pelos hackers para enviar simultaneamente solicitações de recursos que consomem toda a largura de banda da conexão da vítima, impedindo assim que usuários remotos legítimos dos serviços no dispositivo consigam acessá-los.

Os pacotes de dados utilizados na execução de ataques DDoS são os mesmos ou similares àqueles usados para comunicação cotidiana na internet, exceto que eles são coordenados em um bloco extremamente grande por vez. Servidores online que lidam com tráfego de transmissão de vídeo podem permitir um limite superior de 20 Gigabytes por segundo de largura de banda. Em comparação, ataques DDoS podem sobrecarregar um único servidor ou dispositivo de rede com até 1 Terabyte por segundo de dados. Tal volume de tráfego conseguirá tornar um serviço tão grande quanto o Google irresponsivo.

Quem são os Alvos Potenciais de Ataques DDoS?

Os ataques DDoS são extremamente comuns devido à vulnerabilidade de diversos dispositivos com conexão à internet e à disponibilidade de botnets na dark web para uso de hackers iniciantes. Muitos usuários da internet, e surpreendentemente algumas organizações, implementam tecnologias habilitadas para internet sem alterar os detalhes de login padrão do fabricante que vieram com o dispositivo. Hackers vasculham a internet em busca desses dispositivos, ganham acesso a eles e instalam malware que lhes permite controlar tais dispositivos remotamente, sem que os verdadeiros proprietários saibam que seu dispositivo faz parte de um botnet.

Os botnets que consistem na rede de dispositivos vulneráveis não são as principais vítimas aqui, mas são usados para realizar um ataque coordenado contra um único site ou serviço online – estes têm sido as principais vítimas de ataques DDoS.

Ataques DDoS contra sites e plataformas de serviços online podem ocorrer na forma de pacotes falsos, mensagens recebidas ou solicitações para iniciar uma conexão. Eles são, na maioria das vezes, executados como um ataque vingativo seja para manchar a reputação de concorrentes e, consequentemente, causar uma queda na participação de mercado, um ataque contra oponentes políticos, ou às vezes como uma estratégia de desmoralização contra movimentos e entidades de direitos humanos.

Amazon Web Services (AWS) sofreu um dos recentes ataques DDoS em fevereiro de 2020. Um grande cliente não identificado da AWS foi o alvo do ataque, afetando seus serviços online por três dias. Uma largura de banda de tráfego atingindo o pico de 2,3 Terabytes por segundo fez com que a vasta largura de banda permitida pela AWS parecesse brincadeira de criança.

O botnet mais popular até agora – Mirai, foi o centro de uma cadeia de ataques DDoS em 2016. Em setembro de 2016, a internet foi palco do botnet Mirai no ataque DDoS mais massivo da época, com o tráfego atingindo um pico de largura de banda de 620 Gbps contra o blog de um analista de cibersegurança. Após um fragmento do código Mirai ter sido tornado público em um encontro da DEFCON mais tarde naquele mês, uma escala muito maior de ataque atingiu um importante provedor de Serviço de Nome de Domínio – Dyn.

Dyn era o provedor de DNS para sites como Netflix, GitHub, PayPal, Reddit, Airbnb e HBO no momento do ataque Mirai. O ataque DDoS de 1,5 Gigabit por segundo na rede de sites da Dyn tornou seus serviços irresponsivos enquanto o ataque durou. Houve vários outros ataques Mirai mais tarde em 2016, alguns incluindo dispositivos IoT sequestrados como câmeras de CCTV, máquinas de fazer café e até monitores de babá eletrônica.

Tipos de Ataques DDoS

Existem diferentes tipos de ataques DDoS. Vamos revisar alguns deles abaixo:

Zero-Day DDoS: Zero-Day DDoS é o termo usado por hackers em seus sites clandestinos hospedados na dark web. O termo refere-se a uma série de códigos-fonte e exércitos de botnets recrutados que estão à venda; no entanto, isso representa níveis de vulnerabilidade para os quais ainda não foram lançadas correções de segurança.

Ping da Morte: Isso envolve atacantes enviando múltiplos pacotes de ping alterados para um nó de rede. Os dispositivos que gerenciam dispositivos locais (switches e roteadores) têm limites de comprimento de pacote permitidos por eles por segundo. Assim, pacotes longos são frequentemente fragmentados, para serem remontados pelo host receptor. O comprimento médio de dados de um pacote IP é de cerca de 1700 bytes; no entanto, hackers buscam perpetrar um Ping da Morte enviando pings com tamanhos de dados de até 71.423 bytes quando remontados no destino. Esse tipo de ataque DDoS efetivamente esgota a memória do servidor e o torna impossível de responder a consultas legítimas enquanto o feitiço dura.

Ataque de Flood UDP; Este é um tipo de ataque DDoS que envolve inundar a vítima com fluxos constantes de dados da classe User Datagram Protocol (UDP). Neste tipo de ataque, um host remoto tem portas aleatórias sendo inundadas repetidamente com solicitações de conexão. Semelhante ao flood UDP é o flood ICMP (ping), que envia pacotes de ping rápidos e aleatórios sem esperar por feedback para conexão. O flood de pacotes esgota os recursos e a largura de banda do host e, às vezes, torna impossível estabelecer um handshake quando são feitas consultas de conexão legítimas.

Ataque SYN Flood: Esse tipo de ataque explora uma vulnerabilidade nas conexões TCP – O handshake de três vias. Handshakes de três vias envolvem um computador remoto enviando uma solicitação de conexão para um servidor; o servidor responde reconhecendo a solicitação. O computador remoto também deve responder ao reconhecimento enviando um pacote que inicia a conexão. O que os hackers fazem para executar um ataque DDoS por esse canal é enviar várias solicitações de conexão SYN para um único host usando uma botnet. Os servidores respondem a cada nó com uma mensagem ACK, mas os hackers impedem as botnets de responderem. A falta de resposta à mensagem ACK deixa o servidor atacado em espera, e mais solicitações de handshake são enviadas até que todos os recursos da vítima sejam esgotados.

Ataques de Flood HTTP: Estes envolvem a exploração de solicitações legítimas destinadas às atividades GET e POST de pacotes indo e vindo de um site ou servidor. O ataque geralmente engana o servidor remoto fazendo com que ele aloque recursos máximos às solicitações falsas.

Medidas Preventivas Contra Ataques DDoS

Como foi destacado anteriormente, os ataques DDoS são executados em duas etapas: recrutando os nós que compõem o botnet e inundando a rede da vítima com tráfego excessivo. Usuários comuns de redes de internet domésticas podem se proteger contra a participação em um ataque de botnet eliminando todas as fontes de vulnerabilidade em dispositivos pessoais, seguindo os passos abaixo:

1. Altere senhas em dispositivos novos:

Dispositivos de rede como roteadores, switches, hubs Wi-Fi e dispositivos IoT vêm com senhas padrão. Alterar senhas padrão é sensato, pois esse passo leva seu dispositivo e todos os outros conectados à sua rede a ficarem mais distantes de comprometimentos. Uma olhada no manual de instruções do usuário ou no site do fabricante deve revelar passos simples para alterar a senha do dispositivo.

2. Utilize recursos de segurança atualizados e confiáveis:

Atualizar o firmware de dispositivos de front-end, firewalls e o sistema operacional será a primeira tela de proteção contra a infiltração de malware nos dispositivos de rede.

Para organizações que descobrem que sua infraestrutura de rede está sob um ataque DDoS, o seguinte plano de ação deve garantir que o tempo de inatividade e a perda resultante sejam mínimos.

3. Utilize tecnologia de gateway que identifica picos súbitos de tráfego

Um ataque DDoS pode ser facilmente contido se notado cedo o suficiente; isso permitirá tempo suficiente para entrar em contato com o ISP da empresa, que então implementaria sua melhor técnica de dispersão de DDoS. Um ISP poderia parar ou minimizar o impacto de um ataque DDoS dispersando o tráfego para servidores com larguras de banda disponíveis ou roteando o tráfego para um Sink Hole ou Black Hole. Black Holes são, no entanto, mais eficazes, pois todo o tráfego, tanto legítimo quanto ilegítimo, indo para um endereço IP atacado é enviado para um buraco de ‘interface nula’. Sinkholes, por outro lado, tentam filtrar os pacotes de dados.

4. Reconfiguração do backend dos recursos de rede

É possível limitar o volume de largura de banda permitido por hardware como switches e roteadores, o que também se aplica a firewalls. Com a limitação de tráfego, a enorme largura de banda de tráfego peculiar aos ataques DDoS é filtrada, enquanto pacotes com características regulares são permitidos na rede local.

5. Mantenha os dispositivos IoT seguros

Uma vulnerabilidade em uma máquina de fazer café teria sido explorada para invadir a infraestrutura de rede de um cassino. O conselho dado anteriormente sobre dispositivos IoT merece ênfase – altere as senhas padrão assim que seus dispositivos IoT saírem da caixa, e se esforce para atualizar o firmware do dispositivo regularmente.

Conclusão

Os ataques DDoS podem parecer assustadores e bastante complicados, mas não mais. Com o conhecimento recém-adquirido ou atualizado sobre ataques DDoS por meio deste artigo, saber a capacidade de um ISP em proteger seu site contra um deve ser incluído na lista de critérios a verificar ao decidir qual ISP assinar.