{"id":113,"date":"2022-01-26T17:32:25","date_gmt":"2022-01-26T17:32:25","guid":{"rendered":"https:\/\/renewhost.com.br\/?p=113"},"modified":"2022-01-26T17:32:26","modified_gmt":"2022-01-26T17:32:26","slug":"o-que-e-ataque-de-ddos","status":"publish","type":"post","link":"https:\/\/renewhost.com.br\/?p=113","title":{"rendered":"O que \u00e9 ataque de DDoS?"},"content":{"rendered":"\n

Significado do ataque de DDoS<\/h2>\n\n\n\n

Em um ataque de DDoS (nega\u00e7\u00e3o distribu\u00edda de servi\u00e7o), um invasor sobrecarrega seu alvo com tr\u00e1fego de Internet indesejado para que o tr\u00e1fego normal n\u00e3o possa atingir o destino pretendido.<\/p>\n\n\n\n

Mas o que isso realmente significa? Imagine seu filme favorito de zumbis. Hordas de criaturas infectadas, todas com o mesmo objetivo: assolar a civiliza\u00e7\u00e3o enquanto espalham sua “praga zumbi”. Elas inundam os recursos dos \u00f3rg\u00e3os de seguran\u00e7a p\u00fablica, destroem as for\u00e7as militares e desativam os servi\u00e7os de sa\u00fade. Ent\u00e3o, inevitavelmente, h\u00e1 um enorme engarrafamento que chega at\u00e9 onde os olhos podem ver, enquanto as pessoas fogem na estrada para ficar em seguran\u00e7a. Um ataque de DDoS \u00e9 assim: um apocalipse zumbi on-line. Mas, em vez de zumbis, hordas de computadores infectados v\u00e3o atr\u00e1s de um website direcionado, todos ao mesmo tempo, afastando os humanos e os neg\u00f3cios.<\/p>\n\n\n\n

Um ataque de DDoS ao website, \u00e0 aplica\u00e7\u00e3o da Web, \u00e0s APIs, \u00e0 rede ou \u00e0 infraestrutura de data center de uma empresa pode causar tempo de inatividade e impedir que usu\u00e1rios leg\u00edtimos comprem produtos, usem um servi\u00e7o, obtenham informa\u00e7\u00f5es ou fa\u00e7am qualquer outro acesso.<\/p>\n\n\n\n

Durante um ataque de DDoS, os invasores usam muitas m\u00e1quinas exploradas e dispositivos conectados pela Internet, incluindo dispositivos de IoT (Internet das Coisas), smartphones, computadores pessoais e servidores de rede, para enviar uma inunda\u00e7\u00e3o de tr\u00e1fego para os alvos.<\/p>\n\n\n\n

Como funciona um ataque de DDoS?<\/h2>\n\n\n\n

Os ataques de DDoS exploram redes de dispositivos conectados \u00e0 Internet para cortar usu\u00e1rios de um servidor ou recurso de rede, como um website ou uma aplica\u00e7\u00e3o que eles podem acessar com frequ\u00eancia.<\/p>\n\n\n\n

Para iniciar um ataque de DDoS, os invasores usam malware ou aproveitam as vulnerabilidades de seguran\u00e7a para infectar e controlar de forma mal-intencionada as m\u00e1quinas e os dispositivos. Cada computador ou dispositivo infectado, chamado de “bot” ou “zumbi”, consegue espalhar o malware ainda mais e participar de ataques de DDoS. Esses bots formam ex\u00e9rcitos de bots chamados “botnets”, que aproveitam sua for\u00e7a em n\u00fameros e ampliam o tamanho de um ataque. E, como a infec\u00e7\u00e3o de dispositivos de Internet das coisas muitas vezes passa despercebida (assim como aquele zumbi irritante dos filmes de terror que voc\u00ea n\u00e3o percebeu que estava infectado), os propriet\u00e1rios leg\u00edtimos de dispositivos se tornam v\u00edtimas secund\u00e1rias ou participantes inocentes, enquanto a organiza\u00e7\u00e3o que foi v\u00edtima do ataque continua com dificuldades para identificar os invasores.<\/p>\n\n\n\n

Depois que um invasor cria um botnet, ele pode enviar instru\u00e7\u00f5es remotas a cada bot,<\/p>\n\n\n\n

direcionando um ataque de DDoS ao sistema alvo. Quando um botnet ataca uma rede ou um servidor, o invasor instrui os bots individuais a enviar solicita\u00e7\u00f5es ao endere\u00e7o IP da v\u00edtima. Assim como n\u00f3s, humanos, temos impress\u00f5es digitais \u00fanicas, nossos dispositivos t\u00eam um endere\u00e7o exclusivo que os identifica na Internet ou na rede local. O resultado desse tr\u00e1fego esmagador cria uma nega\u00e7\u00e3o de servi\u00e7o, impedindo que o tr\u00e1fego normal acesse o website, a aplica\u00e7\u00e3o da Web, a API ou a rede.<\/p>\n\n\n\n

\u00c0s vezes, os botnets, com suas redes de dispositivos comprometidos, s\u00e3o alugados para iniciar outros poss\u00edveis ataques por meio de servi\u00e7os de “ataque por aluguel”. Isso permite que as pessoas com m\u00e1s inten\u00e7\u00f5es, mas sem treinamento ou experi\u00eancia, iniciem ataques de DDoS facilmente por conta pr\u00f3pria.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Tipos de ataques DDoS<\/h2>\n\n\n\n

H\u00e1 muitos tipos diferentes de ataques de DDoS e, muitas vezes, os invasores usam mais de um tipo para causar estragos em seus alvos. Tr\u00eas tipos principais s\u00e3o volum\u00e9trico, protocolo, e\u00a0ataques \u00e0 camada de aplica\u00e7\u00e3o. O objetivo de todos os ataques \u00e9 retardar drasticamente ou impedir que o tr\u00e1fego leg\u00edtimo chegue ao destino pretendido. Por exemplo, isso pode significar impedir que um usu\u00e1rio acesse um website, compre um produto ou servi\u00e7o, assista a um v\u00eddeo ou interaja nas redes sociais. Al\u00e9m disso, ao tornar os recursos indispon\u00edveis ou diminuir o desempenho, o DDoS pode paralisar uma empresa. Isso pode impedir que os funcion\u00e1rios acessem e-mails, aplica\u00e7\u00f5es da Web ou realizem neg\u00f3cios normalmente.<\/p>\n\n\n\n

Para entender melhor como funcionam os ataques de DDoS, vamos detalhar os diferentes caminhos que os invasores podem seguir. O modelo de interconex\u00e3o de sistemas abertos, tamb\u00e9m chamado de “modelo de OSI”, \u00e9 uma estrutura em camadas para v\u00e1rios padr\u00f5es de rede que cont\u00e9m sete camadas diferentes. Cada camada do modelo de OSI tem um prop\u00f3sito \u00fanico, como os andares de um pr\u00e9dio de escrit\u00f3rios onde operam as diferentes fun\u00e7\u00f5es de uma empresa. Os invasores visam \u00e0s diferentes camadas, dependendo do tipo de ativo voltado para a Web ou para a Internet que eles gostariam de interromper.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

As sete camadas de conectividade de rede do modelo de OSI envolvidas em um ataque de DDoS<\/h2>\n\n\n\n

Camada 7: aplica\u00e7\u00e3o<\/h2>\n\n\n\n

A camada de aplica\u00e7\u00e3o est\u00e1 na parte superior e mais pr\u00f3xima do usu\u00e1rio final. \u00c9 onde as pessoas interagem com computadores e dispositivos e onde as redes se conectam \u00e0s aplica\u00e7\u00f5es.<\/p>\n\n\n\n

Camada 6: apresenta\u00e7\u00e3o<\/h2>\n\n\n\n

A criptografia e a descriptografia de dados ocorrem na camada de apresenta\u00e7\u00e3o, permitindo uma transmiss\u00e3o segura.<\/p>\n\n\n\n

Camada 5: sess\u00e3o<\/h2>\n\n\n\n

A camada de sess\u00e3o permite que dispositivos, computadores ou servidores se comuniquem entre si e controla as portas e as sess\u00f5es.<\/p>\n\n\n\n

Camada 4 – Transmiss\u00e3o<\/h2>\n\n\n\n

Na camada de transmiss\u00e3o, os dados s\u00e3o comunicados por meio do TCP (Transmission Control Protocol), que se baseia no IP (Internet Protocol), tamb\u00e9m chamado de TCP\/IP.<\/p>\n\n\n\n

Camada 3: rede<\/h2>\n\n\n\n

A camada de rede determina o caminho f\u00edsico que os dados seguir\u00e3o para chegar ao destino.<\/p>\n\n\n\n

Camada 2 – Link de dados<\/h2>\n\n\n\n

A camada de link de dados oferece uma maneira de transferir dados entre entidades de rede. Ela tamb\u00e9m \u00e9 um meio de detectar e corrigir erros que podem ocorrer na camada f\u00edsica.<\/p>\n\n\n\n

Camada 1 – F\u00edsica<\/h2>\n\n\n\n

A primeira e a mais baixa, a camada 1 \u00e9 a camada f\u00edsica em que os bits brutos s\u00e3o transmitidos por meio de um link de dados f\u00edsico que conecta os n\u00f3s de rede.<\/p>\n\n\n\n

Ataques volum\u00e9tricos<\/h2>\n\n\n\n

A inten\u00e7\u00e3o de um ataque de DDoS baseado em volume \u00e9 sobrecarregar uma rede com grandes quantidades de tr\u00e1fego, saturando a largura de banda do recurso da v\u00edtima pretendida. As grandes quantidades do tr\u00e1fego de ataque impedem que os usu\u00e1rios leg\u00edtimos acessem a aplica\u00e7\u00e3o ou o servi\u00e7o, dificultando que o tr\u00e1fego entre ou saia. Dependendo do alvo, interromper o tr\u00e1fego leg\u00edtimo pode fazer com que um cliente do banco n\u00e3o consiga pagar uma conta no prazo, que os compradores de com\u00e9rcio eletr\u00f4nico n\u00e3o consigam concluir transa\u00e7\u00f5es on-line, que um paciente do hospital possa ser impedido de acessar seu prontu\u00e1rio m\u00e9dico ou que um cidad\u00e3o n\u00e3o consiga visualizar seus registros fiscais em um \u00f3rg\u00e3o governamental. Independentemente da organiza\u00e7\u00e3o, bloquear as pessoas de um servi\u00e7o que elas esperam usar on-line causa um impacto negativo.<\/p>\n\n\n\n

Os ataques volum\u00e9tricos usam botnets criados com ex\u00e9rcitos de sistemas e dispositivos infectados por malwares individuais. Controlados por um invasor, os bots s\u00e3o usados para causar congestionamento entre um alvo e a Internet em geral, com um tr\u00e1fego mal-intencionado que satura toda a largura de banda dispon\u00edvel.<\/p>\n\n\n\n

Um ataque imprevisto de tr\u00e1fego de bots pode retardar significativamente ou impedir o acesso a um recurso da Web ou um servi\u00e7o voltado para a Internet. Como os bots invadem dispositivos leg\u00edtimos para amplificar os ataques de DDoS que fazem uso intenso de largura de banda, geralmente sem o conhecimento do usu\u00e1rio, a organiza\u00e7\u00e3o que \u00e9 v\u00edtima do ataque tem dificuldades para detectar o tr\u00e1fego mal-intencionado.<\/p>\n\n\n\n

Tipos comuns de ataques baseados em volume<\/h2>\n\n\n\n

Os agentes de amea\u00e7as usam v\u00e1rios vetores de ataques de DDoS volum\u00e9tricos. Muitos aproveitam t\u00e9cnicas de reflex\u00e3o e amplifica\u00e7\u00e3o para sobrecarregar o alvo, seja uma rede ou um servi\u00e7o.<\/p>\n\n\n\n

Inunda\u00e7\u00e3o UDP<\/h2>\n\n\n\n

Com frequ\u00eancia, a modalidade “flood de UDP” \u00e9 escolhida para os ataques de DDoS de maior largura de banda. Os invasores tentam sobrecarregar as portas do host visado com pacotes IP que cont\u00eam o protocolo UDP sem estado. Em seguida, o host da v\u00edtima procura aplica\u00e7\u00f5es associadas aos pacotes de UDP e, quando n\u00e3o as encontra, retorna uma mensagem “Destination Unreachable” (destino inacess\u00edvel) ao remetente. Muitas vezes, os endere\u00e7os IP s\u00e3o falsificados para anonimizar o invasor e, quando o host visado \u00e9 inundado com o tr\u00e1fego do ataque, o sistema deixa de responder e fica indispon\u00edvel para os usu\u00e1rios leg\u00edtimos.<\/p>\n\n\n\n

Reflex\u00e3o\/amplifica\u00e7\u00e3o de DNS<\/h2>\n\n\n\n

Os ataques de reflex\u00e3o do DNS (Sistema de Nomes de Dom\u00ednio) s\u00e3o um tipo comum de vetor em que os cibercriminosos falsificam o endere\u00e7o IP do alvo para enviar grandes quantidades de solicita\u00e7\u00f5es aos servidores DNS abertos. Em resposta, esses servidores DNS respondem \u00e0s solicita\u00e7\u00f5es mal-intencionadas enviadas pelo endere\u00e7o IP falsificado, o que cria um ataque ao alvo desejado por meio de uma inunda\u00e7\u00e3o de respostas do DNS. Muito rapidamente, o grande volume de tr\u00e1fego criado a partir das respostas do DNS sobrecarrega os servi\u00e7os da organiza\u00e7\u00e3o vitimada, o que os torna indispon\u00edveis e impede que o tr\u00e1fego leg\u00edtimo chegue ao destino pretendido.<\/p>\n\n\n\n

Flood de ICMP<\/h2>\n\n\n\n

O ICMP (Internet Control Message Protocol) \u00e9 usado principalmente para mensagens de erro e, normalmente, n\u00e3o troca dados entre sistemas. Os pacotes do ICMP podem acompanhar os pacotes do TCP, que permitem que aplica\u00e7\u00f5es e dispositivos de computa\u00e7\u00e3o troquem mensagens por uma rede, ao se conectarem a um servidor. A modalidade flood de ICMP \u00e9 um m\u00e9todo de ataque de DDoS \u00e0 infraestrutura de camada 3 que usa mensagens do ICMP para sobrecarregar a largura de banda da rede visada.<\/p>\n\n\n\n

Ataques a protocolos<\/h2>\n\n\n\n

Os ataques a protocolos tentam consumir e esgotar a capacidade de computa\u00e7\u00e3o de v\u00e1rios recursos de infraestrutura de rede, como servidores ou firewalls, por meio de solicita\u00e7\u00f5es de conex\u00e3o mal-intencionadas que exploram as comunica\u00e7\u00f5es dos protocolos. As modalidades flood de SYN (Synchronize) e DDoS Smurf s\u00e3o dois tipos comuns de ataques de DDoS baseados em protocolos. \u00c9 poss\u00edvel medir os ataques a protocolos em pps (pacotes por segundo) e bps (bits por segundo).<\/p>\n\n\n\n

Ataque flood de SYN<\/h2>\n\n\n\n

Uma das principais maneiras pelas quais as pessoas se conectam a aplica\u00e7\u00f5es da Internet \u00e9 por meio do TCP. Essa conex\u00e3o requer um handshake tridirecional de um servi\u00e7o do TCP (como um servidor da Web) e envolve o envio do que se chama pacote de SYN (sincroniza\u00e7\u00e3o) de onde o usu\u00e1rio se conecta ao servidor que, ent\u00e3o, retorna um pacote SYN-ACK (confirma\u00e7\u00e3o de sincroniza\u00e7\u00e3o). Esse pacote, por fim, \u00e9 respondido com uma comunica\u00e7\u00e3o final de ACK (confirma\u00e7\u00e3o) para concluir o handshake do TCP.<\/p>\n\n\n\n

Durante um ataque flood de SYN, um cliente mal-intencionado envia um grande volume de pacotes de SYN (primeira parte do handshake usual), mas nunca envia a confirma\u00e7\u00e3o para concluir o handshake. Isso deixa o servidor aguardando uma resposta a essas conex\u00f5es semiabertas do TCP, que acabam ficando sem capacidade para aceitar novas conex\u00f5es dos servi\u00e7os que monitoram estados de conex\u00e3o. <\/p>\n\n\n\n

Um ataque flood de SYN \u00e9 como um trote terr\u00edvel feito por toda a turma de gradua\u00e7\u00e3o de um grande col\u00e9gio, em que todos os alunos ligam para a mesma pizzaria e pedem uma pizza no mesmo per\u00edodo. Ent\u00e3o, quando o entregador vai organizar os pedidos, percebe que h\u00e1 pizzas demais, que elas n\u00e3o cabem no carro e que os pedidos n\u00e3o t\u00eam endere\u00e7o. Assim, todo o processo de entrega \u00e9 interrompido.<\/p>\n\n\n\n

Ataque Smurf<\/h2>\n\n\n\n

O nome desse ataque de DDoS se baseia no conceito de que invasores min\u00fasculos e numerosos podem sobrecarregar um oponente muito maior por volume absoluto, assim como a col\u00f4nia fict\u00edcia de pequenos humanoides azuis tamb\u00e9m chamados de Smurfs.<\/p>\n\n\n\n

Em um ataque de nega\u00e7\u00e3o distribu\u00edda de servi\u00e7o do tipo Smurf, muitos pacotes do ICMP (Internet Control Message Protocol) com o IP de origem falsificado de um alvo pretendido s\u00e3o transmitidos a uma rede de computadores usando um endere\u00e7o de transmiss\u00e3o IP. Por padr\u00e3o, a maioria dos dispositivos em uma rede responder\u00e1 enviando uma resposta ao endere\u00e7o IP de origem. Dependendo do n\u00famero de m\u00e1quinas na rede, o computador da v\u00edtima pode ser extremamente desacelerado ao ser inundado de tr\u00e1fego.<\/p>\n\n\n\n

Ataques \u00e0 camada de aplica\u00e7\u00e3o<\/h2>\n\n\n\n

Exemplo: Ataque flood de HTTP<\/h2>\n\n\n\n

Realizados por meio da inunda\u00e7\u00e3o de aplica\u00e7\u00f5es com solicita\u00e7\u00f5es mal-intencionadas, os ataques \u00e0 camada de aplica\u00e7\u00e3o s\u00e3o medidos em RPS (solicita\u00e7\u00f5es por segundo). Tamb\u00e9m chamados de ataques de DDoS de camada 7, esses ataques visam e interrompem aplica\u00e7\u00f5es da Web espec\u00edficas, n\u00e3o redes inteiras. Embora sejam dif\u00edceis de evitar e mitigar, eles est\u00e3o entre os ataques de DDoS mais f\u00e1ceis de iniciar.<\/p>\n\n\n\n

Em compara\u00e7\u00e3o, \u00e9 f\u00e1cil assustar uma manada de cavalos e faz\u00ea-los correr em disparada, mas \u00e9 quase imposs\u00edvel control\u00e1-los novamente. Os ataques \u00e0 camada de aplica\u00e7\u00e3o s\u00e3o assim: f\u00e1ceis de implantar, dif\u00edceis de desacelerar ou parar e direcionados especificamente a um alvo.<\/p>\n\n\n\n

Para que s\u00e3o usados os ataques de DDoS?<\/h2>\n\n\n\n

Os ataques de nega\u00e7\u00e3o distribu\u00edda de servi\u00e7o, ou DDoS, tentam desativar servi\u00e7os online, websites e aplica\u00e7\u00f5es da Web inundando-os com tr\u00e1fego mal-intencionado de v\u00e1rias fontes ou esgotando os recursos de computa\u00e7\u00e3o do ativo visado. O objetivo do invasor \u00e9 tornar o alvo indispon\u00edvel para usu\u00e1rios leg\u00edtimos, pois ele quer causar perturba\u00e7\u00f5es. Os ataques de DDoS visam uma ampla variedade de recursos dos quais as pessoas dependem todos os dias, como servi\u00e7os financeiros, informa\u00e7\u00f5es m\u00e9dicas, canais de not\u00edcias, sistemas educacionais e compras online. <\/p>\n\n\n\n

H\u00e1 muitos motivos pelos quais os agentes de amea\u00e7as iniciam ataques de DDoS destinados a perturbar as organiza\u00e7\u00f5es. As motiva\u00e7\u00f5es comuns podem incluir:<\/p>\n\n\n\n