Significado do ataque de DDoS
Em um ataque de DDoS (negação distribuída de serviço), um invasor sobrecarrega seu alvo com tráfego de Internet indesejado para que o tráfego normal não possa atingir o destino pretendido.
Mas o que isso realmente significa? Imagine seu filme favorito de zumbis. Hordas de criaturas infectadas, todas com o mesmo objetivo: assolar a civilização enquanto espalham sua “praga zumbi”. Elas inundam os recursos dos órgãos de segurança pública, destroem as forças militares e desativam os serviços de saúde. Então, inevitavelmente, há um enorme engarrafamento que chega até onde os olhos podem ver, enquanto as pessoas fogem na estrada para ficar em segurança. Um ataque de DDoS é assim: um apocalipse zumbi on-line. Mas, em vez de zumbis, hordas de computadores infectados vão atrás de um website direcionado, todos ao mesmo tempo, afastando os humanos e os negócios.
Um ataque de DDoS ao website, à aplicação da Web, às APIs, à rede ou à infraestrutura de data center de uma empresa pode causar tempo de inatividade e impedir que usuários legítimos comprem produtos, usem um serviço, obtenham informações ou façam qualquer outro acesso.
Durante um ataque de DDoS, os invasores usam muitas máquinas exploradas e dispositivos conectados pela Internet, incluindo dispositivos de IoT (Internet das Coisas), smartphones, computadores pessoais e servidores de rede, para enviar uma inundação de tráfego para os alvos.
Como funciona um ataque de DDoS?
Os ataques de DDoS exploram redes de dispositivos conectados à Internet para cortar usuários de um servidor ou recurso de rede, como um website ou uma aplicação que eles podem acessar com frequência.
Para iniciar um ataque de DDoS, os invasores usam malware ou aproveitam as vulnerabilidades de segurança para infectar e controlar de forma mal-intencionada as máquinas e os dispositivos. Cada computador ou dispositivo infectado, chamado de “bot” ou “zumbi”, consegue espalhar o malware ainda mais e participar de ataques de DDoS. Esses bots formam exércitos de bots chamados “botnets”, que aproveitam sua força em números e ampliam o tamanho de um ataque. E, como a infecção de dispositivos de Internet das coisas muitas vezes passa despercebida (assim como aquele zumbi irritante dos filmes de terror que você não percebeu que estava infectado), os proprietários legítimos de dispositivos se tornam vítimas secundárias ou participantes inocentes, enquanto a organização que foi vítima do ataque continua com dificuldades para identificar os invasores.
Depois que um invasor cria um botnet, ele pode enviar instruções remotas a cada bot,
direcionando um ataque de DDoS ao sistema alvo. Quando um botnet ataca uma rede ou um servidor, o invasor instrui os bots individuais a enviar solicitações ao endereço IP da vítima. Assim como nós, humanos, temos impressões digitais únicas, nossos dispositivos têm um endereço exclusivo que os identifica na Internet ou na rede local. O resultado desse tráfego esmagador cria uma negação de serviço, impedindo que o tráfego normal acesse o website, a aplicação da Web, a API ou a rede.
Às vezes, os botnets, com suas redes de dispositivos comprometidos, são alugados para iniciar outros possíveis ataques por meio de serviços de “ataque por aluguel”. Isso permite que as pessoas com más intenções, mas sem treinamento ou experiência, iniciem ataques de DDoS facilmente por conta própria.
Tipos de ataques DDoS
Há muitos tipos diferentes de ataques de DDoS e, muitas vezes, os invasores usam mais de um tipo para causar estragos em seus alvos. Três tipos principais são volumétrico, protocolo, e ataques à camada de aplicação. O objetivo de todos os ataques é retardar drasticamente ou impedir que o tráfego legítimo chegue ao destino pretendido. Por exemplo, isso pode significar impedir que um usuário acesse um website, compre um produto ou serviço, assista a um vídeo ou interaja nas redes sociais. Além disso, ao tornar os recursos indisponíveis ou diminuir o desempenho, o DDoS pode paralisar uma empresa. Isso pode impedir que os funcionários acessem e-mails, aplicações da Web ou realizem negócios normalmente.
Para entender melhor como funcionam os ataques de DDoS, vamos detalhar os diferentes caminhos que os invasores podem seguir. O modelo de interconexão de sistemas abertos, também chamado de “modelo de OSI”, é uma estrutura em camadas para vários padrões de rede que contém sete camadas diferentes. Cada camada do modelo de OSI tem um propósito único, como os andares de um prédio de escritórios onde operam as diferentes funções de uma empresa. Os invasores visam às diferentes camadas, dependendo do tipo de ativo voltado para a Web ou para a Internet que eles gostariam de interromper.
As sete camadas de conectividade de rede do modelo de OSI envolvidas em um ataque de DDoS
Camada 7: aplicação
A camada de aplicação está na parte superior e mais próxima do usuário final. É onde as pessoas interagem com computadores e dispositivos e onde as redes se conectam às aplicações.
Camada 6: apresentação
A criptografia e a descriptografia de dados ocorrem na camada de apresentação, permitindo uma transmissão segura.
Camada 5: sessão
A camada de sessão permite que dispositivos, computadores ou servidores se comuniquem entre si e controla as portas e as sessões.
Camada 4 – Transmissão
Na camada de transmissão, os dados são comunicados por meio do TCP (Transmission Control Protocol), que se baseia no IP (Internet Protocol), também chamado de TCP/IP.
Camada 3: rede
A camada de rede determina o caminho físico que os dados seguirão para chegar ao destino.
Camada 2 – Link de dados
A camada de link de dados oferece uma maneira de transferir dados entre entidades de rede. Ela também é um meio de detectar e corrigir erros que podem ocorrer na camada física.
Camada 1 – Física
A primeira e a mais baixa, a camada 1 é a camada física em que os bits brutos são transmitidos por meio de um link de dados físico que conecta os nós de rede.
Ataques volumétricos
A intenção de um ataque de DDoS baseado em volume é sobrecarregar uma rede com grandes quantidades de tráfego, saturando a largura de banda do recurso da vítima pretendida. As grandes quantidades do tráfego de ataque impedem que os usuários legítimos acessem a aplicação ou o serviço, dificultando que o tráfego entre ou saia. Dependendo do alvo, interromper o tráfego legítimo pode fazer com que um cliente do banco não consiga pagar uma conta no prazo, que os compradores de comércio eletrônico não consigam concluir transações on-line, que um paciente do hospital possa ser impedido de acessar seu prontuário médico ou que um cidadão não consiga visualizar seus registros fiscais em um órgão governamental. Independentemente da organização, bloquear as pessoas de um serviço que elas esperam usar on-line causa um impacto negativo.
Os ataques volumétricos usam botnets criados com exércitos de sistemas e dispositivos infectados por malwares individuais. Controlados por um invasor, os bots são usados para causar congestionamento entre um alvo e a Internet em geral, com um tráfego mal-intencionado que satura toda a largura de banda disponível.
Um ataque imprevisto de tráfego de bots pode retardar significativamente ou impedir o acesso a um recurso da Web ou um serviço voltado para a Internet. Como os bots invadem dispositivos legítimos para amplificar os ataques de DDoS que fazem uso intenso de largura de banda, geralmente sem o conhecimento do usuário, a organização que é vítima do ataque tem dificuldades para detectar o tráfego mal-intencionado.
Tipos comuns de ataques baseados em volume
Os agentes de ameaças usam vários vetores de ataques de DDoS volumétricos. Muitos aproveitam técnicas de reflexão e amplificação para sobrecarregar o alvo, seja uma rede ou um serviço.
Inundação UDP
Com frequência, a modalidade “flood de UDP” é escolhida para os ataques de DDoS de maior largura de banda. Os invasores tentam sobrecarregar as portas do host visado com pacotes IP que contêm o protocolo UDP sem estado. Em seguida, o host da vítima procura aplicações associadas aos pacotes de UDP e, quando não as encontra, retorna uma mensagem “Destination Unreachable” (destino inacessível) ao remetente. Muitas vezes, os endereços IP são falsificados para anonimizar o invasor e, quando o host visado é inundado com o tráfego do ataque, o sistema deixa de responder e fica indisponível para os usuários legítimos.
Reflexão/amplificação de DNS
Os ataques de reflexão do DNS (Sistema de Nomes de Domínio) são um tipo comum de vetor em que os cibercriminosos falsificam o endereço IP do alvo para enviar grandes quantidades de solicitações aos servidores DNS abertos. Em resposta, esses servidores DNS respondem às solicitações mal-intencionadas enviadas pelo endereço IP falsificado, o que cria um ataque ao alvo desejado por meio de uma inundação de respostas do DNS. Muito rapidamente, o grande volume de tráfego criado a partir das respostas do DNS sobrecarrega os serviços da organização vitimada, o que os torna indisponíveis e impede que o tráfego legítimo chegue ao destino pretendido.
Flood de ICMP
O ICMP (Internet Control Message Protocol) é usado principalmente para mensagens de erro e, normalmente, não troca dados entre sistemas. Os pacotes do ICMP podem acompanhar os pacotes do TCP, que permitem que aplicações e dispositivos de computação troquem mensagens por uma rede, ao se conectarem a um servidor. A modalidade flood de ICMP é um método de ataque de DDoS à infraestrutura de camada 3 que usa mensagens do ICMP para sobrecarregar a largura de banda da rede visada.
Ataques a protocolos
Os ataques a protocolos tentam consumir e esgotar a capacidade de computação de vários recursos de infraestrutura de rede, como servidores ou firewalls, por meio de solicitações de conexão mal-intencionadas que exploram as comunicações dos protocolos. As modalidades flood de SYN (Synchronize) e DDoS Smurf são dois tipos comuns de ataques de DDoS baseados em protocolos. É possível medir os ataques a protocolos em pps (pacotes por segundo) e bps (bits por segundo).
Ataque flood de SYN
Uma das principais maneiras pelas quais as pessoas se conectam a aplicações da Internet é por meio do TCP. Essa conexão requer um handshake tridirecional de um serviço do TCP (como um servidor da Web) e envolve o envio do que se chama pacote de SYN (sincronização) de onde o usuário se conecta ao servidor que, então, retorna um pacote SYN-ACK (confirmação de sincronização). Esse pacote, por fim, é respondido com uma comunicação final de ACK (confirmação) para concluir o handshake do TCP.
Durante um ataque flood de SYN, um cliente mal-intencionado envia um grande volume de pacotes de SYN (primeira parte do handshake usual), mas nunca envia a confirmação para concluir o handshake. Isso deixa o servidor aguardando uma resposta a essas conexões semiabertas do TCP, que acabam ficando sem capacidade para aceitar novas conexões dos serviços que monitoram estados de conexão.
Um ataque flood de SYN é como um trote terrível feito por toda a turma de graduação de um grande colégio, em que todos os alunos ligam para a mesma pizzaria e pedem uma pizza no mesmo período. Então, quando o entregador vai organizar os pedidos, percebe que há pizzas demais, que elas não cabem no carro e que os pedidos não têm endereço. Assim, todo o processo de entrega é interrompido.
Ataque Smurf
O nome desse ataque de DDoS se baseia no conceito de que invasores minúsculos e numerosos podem sobrecarregar um oponente muito maior por volume absoluto, assim como a colônia fictícia de pequenos humanoides azuis também chamados de Smurfs.
Em um ataque de negação distribuída de serviço do tipo Smurf, muitos pacotes do ICMP (Internet Control Message Protocol) com o IP de origem falsificado de um alvo pretendido são transmitidos a uma rede de computadores usando um endereço de transmissão IP. Por padrão, a maioria dos dispositivos em uma rede responderá enviando uma resposta ao endereço IP de origem. Dependendo do número de máquinas na rede, o computador da vítima pode ser extremamente desacelerado ao ser inundado de tráfego.
Ataques à camada de aplicação
Exemplo: Ataque flood de HTTP
Realizados por meio da inundação de aplicações com solicitações mal-intencionadas, os ataques à camada de aplicação são medidos em RPS (solicitações por segundo). Também chamados de ataques de DDoS de camada 7, esses ataques visam e interrompem aplicações da Web específicas, não redes inteiras. Embora sejam difíceis de evitar e mitigar, eles estão entre os ataques de DDoS mais fáceis de iniciar.
Em comparação, é fácil assustar uma manada de cavalos e fazê-los correr em disparada, mas é quase impossível controlá-los novamente. Os ataques à camada de aplicação são assim: fáceis de implantar, difíceis de desacelerar ou parar e direcionados especificamente a um alvo.
Para que são usados os ataques de DDoS?
Os ataques de negação distribuída de serviço, ou DDoS, tentam desativar serviços online, websites e aplicações da Web inundando-os com tráfego mal-intencionado de várias fontes ou esgotando os recursos de computação do ativo visado. O objetivo do invasor é tornar o alvo indisponível para usuários legítimos, pois ele quer causar perturbações. Os ataques de DDoS visam uma ampla variedade de recursos dos quais as pessoas dependem todos os dias, como serviços financeiros, informações médicas, canais de notícias, sistemas educacionais e compras online.
Há muitos motivos pelos quais os agentes de ameaças iniciam ataques de DDoS destinados a perturbar as organizações. As motivações comuns podem incluir:
- Hacktivismo orientado por razões políticas ou sociais
- Agentes de ameaças contra o estado-nação com o objetivo de causar perturbações econômicas ou sociais
- Tentativas de atrair negócios caso um serviço ou um produto concorrente esteja indisponível
- A DDoS é usada como uma cortina de fumaça para distrair uma equipe de resposta a incidentes de um ataque mais esquivo e sofisticado
- Extorsão para gerar lucros e ganhos financeiros
Mais recentemente, os ataques de extorsão de DDoS em particular, têm sido um motivador popular para criminosos virtuais. Também conhecidos como ataques de RDDoS (DDoS com pedido de resgate), os ataques de extorsão com ameaça de DDoS ocorrem quando grupos de agentes de ameaças (e imitadores) ameaçam as organizações com um evento de DDoS, a menos que um resgate seja pago ou um pedido de extorsão seja cumprido. Muitas vezes, esses criminosos iniciam um ataque de “demonstração de força” para mostrar sua capacidade de causar perturbações e aumentar a probabilidade do pagamento de extorsão pela empresa visada. Para evitar que sejam pegos, os invasores insistem no pagamento em criptomoedas, como Bitcoin.
Como um valentão que rouba a lição de casa de uma criança mais nova e, então, exige que ela lhe dê o dinheiro do almoço para que devolva a lição, os ataques de extorsão com ameaça de DDoS estão pautados no resgate. No mundo sofisticado do bullying on-line, o dinheiro do resgate é digital e não pode ser rastreado.
Como se defender contra ataques de DDoS
Com uma sólida estratégia de DDoS e um runbook em vigor, as organizações podem se proteger e limitar os danos causados por ataques de DDoS. A proteção contra DDoS de alta capacidade, alto desempenho e sempre ativa, possibilitada por soluções em nuvem, pode impedir que o tráfego mal-intencionado chegue a um website ou interfira na comunicação de uma API da Web. Um serviço de depuração em nuvem pode mitigar rapidamente os ataques direcionados a ativos não relacionadas à Web, como a infraestrutura de rede, em escala.
Proteção contra DDoS
Em um cenário de ataque em constante evolução, Proteção contra DDoS por meio de um provedor de mitigação que adota uma abordagem de defesa em profundidade é possível manter as organizações e os usuários finais seguros. Um serviço de mitigação de DDoS detectará e bloqueará ataques de DDoS o mais rapidamente possível, idealmente em zero segundo ou alguns segundos a partir do momento em que o tráfego do ataque chega aos centros de depuração do provedor de mitigação. Como os vetores de ataque continuam mudando e os tamanhos dos ataques continuam aumentando, para obter a melhor proteção contra DDoS, um provedor deve investir continuamente na capacidade de defesa. Para acompanhar os ataques grandes e complexos, é necessário ter as tecnologias certas para detectar o tráfego mal-intencionado e iniciar sólidas contramedidas defensivas para mitigar ataques rapidamente.
Os provedores de mitigação de DDoS filtram o tráfego mal-intencionado para impedir que ele atinja o ativo visado. O tráfego de ataque é bloqueado por um serviço de depuração de DDoS, um serviço de DNS baseado em nuvemou um serviço de proteção da Web baseado em CDN. A mitigação em nuvem remove o tráfego do ataque antes que ele atinja o alvo.
Depuração em nuvem de DDoS
A depuração de DDoS pode manter seus negócios on-line em funcionamento, mesmo durante um ataque. Ao contrário da mitigação baseada em CDN, um serviço de depuração de DDoS pode proteger todas as portas, protocolos e aplicações do data center, incluindo serviços baseados na Web e em IP. As organizações direcionam o tráfego de rede de uma de duas maneiras: por meio de uma alteração do anúncio de rota do BGP (Border Gateway Protocol) ou de um redirecionamento do DNS (um registro ou CNAME) para a infraestrutura de depuração do provedor de mitigação. O tráfego é monitorado e inspecionado em busca de atividades mal-intencionadas, e a mitigação será aplicada se ataques de DDoS forem identificados. Normalmente, esse serviço pode estar disponível em configurações sob demanda e sempre ativas, dependendo da postura de segurança preferida de uma organização (embora um número cada vez maior de organizações esteja migrando para um modelo de implantação sempre ativo pela resposta defensiva mais rápida).
Defesa baseada em CDN
Uma CDN (Rede de Entrega de Conteúdo) avançada e devidamente configurada pode oferecer proteção contra ataques de DDoS. Quando um provedor de serviços de proteção de website usa a CDN para acelerar o tráfego especificamente usando os protocolos HTTP e HTTPS, todos os ataques de DDoS direcionados a esse URL podem ser descartados na edge da rede. Isso significa que os ataques de DDoS de camadas 3 e 4 são mitigados imediatamente, pois esse tipo de tráfego não se destina às portas da Web 80 e 443. Como um proxy em nuvem, a rede fica na frente da infraestrutura de TI de um cliente e entrega o tráfego dos usuários finais aos websites e às aplicações. Como essas soluções operam em linha, os ativos voltados para a Web são sempre protegidos, sem interação humana, contra os ataques de DDoS na camada de rede. Para defesa específica da camada de aplicação, as organizações devem procurar implantar um web application firewall para combater ataques avançados, incluindo certos tipos de ataques de DDoS, como inundações HTTP GET e HTTP POST, que visam interromper os processos de aplicação da camada 7 do modelo de OSI.
Os benefícios dos serviços de mitigação de DDoS
As organizações podem reduzir sua superfície de ataque e, ao mesmo tempo, reduzir o risco de tempo de inatividade e interrupções que causam impacto sobre os negócios implantando controles de segurança específicos de DDoS. Esse tipo de defesa pode impedir um ataque e permitir que visitantes legítimos acessem sua organização on-line como fariam normalmente. A proteção contra DDoS impede que o tráfego mal-intencionado atinja seu alvo, limitando o impacto do ataque e, ao mesmo tempo, permitindo a passagem do tráfego normal.
Como parar um ataque de DDoS?
Durante a mitigação, seu provedor de proteção contra DDoS implantará uma sequência de contramedidas destinadas a interromper e diminuir o impacto de um ataque de DDoS, ou negação distribuída de serviço. À medida que os ataques modernos se tornam cada vez mais avançados, a proteção de mitigação de DDoS em nuvem ajuda a oferecer defesa em profundidade e em escala, mantendo a infraestrutura de back-end e os serviços voltados para a Internet disponíveis e com desempenho ideal.
Por meio dos serviços de proteção contra ataques de DDoS, as organizações podem:
- Reduzir a superfície de ataque e os riscos comerciais associados aos ataques de DDoS
- Evitar o tempo de inatividade que afeta os negócios
- Aumentar a velocidade de resposta a um evento de DDoS e otimizar os recursos de resposta a incidentes
- Diminuir o tempo para entender e investigar uma interrupção do serviço
- Evitar a perda de produtividade dos funcionários
- Implantar contramedidas mais rapidamente para se defender contra um ataque de DDoS
- Evitar danos à reputação da marca e ao resultado financeiro
- Manter o tempo de atividade e o desempenho das aplicações em todos os recursos digitais
- Minimizar os custos associados à segurança na Web
- Proteger-se contra ameaças novas e em evolução
Saiba como podemos ajudar a proteger seus serviços voltados para a Web e a Internet contra ataques de DDoS
Como funciona a defesa abrangente contra DDoS
Nossa empresa oferece defesa em profundidade contra DDoS por meio de uma malha transparente de defesas dedicadas de edge, DNS distribuído e depuração em nuvem. Essas soluções em nuvem de uso específico foram criadas para fortalecer as posturas de segurança contra DDoS e, ao mesmo tempo, reduzir superfícies de ataque, aprimorar a qualidade da atenuação e reduzir falsos positivos, ao mesmo tempo em que aumentam a resiliência contra os maiores e mais complexos ataques.
Além disso, as soluções podem ser ajustadas aos requisitos específicos de suas aplicações da Web ou seus serviços baseados na Internet.
Proteção da edge
Sua plataforma inteligente de edge globalmente foi projetada e distribuída como um proxy reverso que somente aceita tráfego pelas portas 80 e 443. Todos os ataques de DDoS à camada de rede são descartados instantaneamente na edge com um SLA (Acordo de Nível de Serviço) de zero segundo. Isso significa que os invasores que iniciam ataques de DDoS na camada de rede não têm qualquer chance.
Para ataques DDoS na camada de aplicação, incluindo aqueles iniciados via APIs, Kona Site Defender detecta e mitiga os ataques, ao mesmo tempo em que concede acesso a usuários legítimos.
Proteção do DNS
Serviço de DNS, Edge DNS, também filtra o tráfego na edge. Ao contrário de outras soluções de DNS, nossa equipe projetou o Edge DNS especificamente para oferecer disponibilidade e resiliência contra ataques de DDoS. O Edge DNS também oferece desempenho superior, com redundâncias arquitetônicas em vários níveis, incluindo servidores de nomes, pontos de presença, redes e, até mesmo, nuvens IP Anycast segmentadas.
Proteção de depuração em nuvem
O Prolexic protege data centers inteiros e infraestruturas híbridas contra ataques de DDoS, em todas as portas e protocolos, com 20 centros globais de depuração e mais de 10 Tbps de proteção dedicada contra DDoS. Essa capacidade foi criada para manter disponíveis os ativos voltados para a Internet: a base de qualquer programa de segurança da informação.
Como um serviço totalmente gerenciado, Prolexic pode desenvolver modelos de segurança positiva e negativa. O serviço combina defesas automatizadas com a mitigação especializada da nossa equipe, composta por mais de 225 agentes do SOCC que trabalham na linha de frente. O Prolexic também oferece um SLA de mitigação de zero segundo, líder do setor, por meio de controles defensivos proativos para manter a infraestrutura do data center e os serviços baseados na Internet protegidos e altamente disponíveis.