11 de maio de 2020

Os ataques de DDoS podem acontecer a partir de diferentes camadas de ataque, mas você sabe como o ataque ocorre em cada endpoint?

ataque ddos

Os ataques DDoS (Distributed Denial of Device ou Ataques Distribuídos de Negação de Serviço) são ataques realizadas por um agente anônimo, normalmente com o objetivo de derrubar sites e servidores.

A partir de ações como essas, cibercriminosos conseguem sobrecarregar o servidor com um uma quantidade exorbitante de solicitações, de modo que se torna difícil para o servidor lidar com esse alto fluxo, forçando a desconexão.

Este fluxo irreal de tráfego é enviado de forma planejada a partir de máquinas infectadas (bots), forçando o servidor a perder sua capacidade de responder.

As máquinas infectadas criam uma rede chamada de Botnets. Em resumo, isso faz com que todos dispositivos na rede fiquem a mercê de hackers e os usuários não percebem nem mesmo que foram atacados.

Os meios mais comuns desse tipo de ataque, são:

Distribuição de Negação de Serviço ou Método da negação distribuída

Por esse método, os meios de comunicação se abrem por uma centena de máquinas infectadas. O hacker que possui acesso a esses dispositivos pode enviar os pedidos ao servidor a qualquer instante para derrubá-lo.

Daí o nome de negação distribuída, já que diversas máquinas realizam o ataque até que o servidor se torne incapaz de sustentar a demanda, resultado na desconexão.

Reflexão de tráfego

Esse tipo de ataque aproveita enquanto os servidores respondem os protocolos DNS e NTP, para maximizar seus esforços em um objetivo. Esse é o tipo de ataque mais utilizado em larga escala, pois utiliza vulnerabilidades nos protocolos de NTP para dispersar os ataques por uma rede de servidores válidos que atendam a esse protocolo.

Aqui também é utilizado protocolos básicos de Internet para sobrecarregar o objetivo com dados inúteis.

Existem casos em que o volume de requisições chegaram a 400 Gigabits por segundo.

“Handshake”

Normalmente, um computador abre uma linha TCP com o servidor, que responde e então espera até que o dispositivo complete o handshake. Porém, nesse tipo de ataque, o computador não o completa e mantêm o servidor em espera.

Aqui o objetivo é esgotar a capacidade dos servidores ou de seu firewall. São focados nas camadas 3 e 4 da pilha de protocolo. Um exemplo típico desse tipo de ataque é a sobrecarga SNY.

Método UDP

Esse método é extremamente veloz no ataque, pois utiliza-se dos servidores de DNS para iniciar a ação. Em geral, para se resolver problemas com a URL, a máquina utiliza o User Datagram Protocol (UDP).

Cibercriminosos se aproveitam da deficiência dos pacotes de UDP e criam um fluxo de mensagens para o servidor. Esse fluxo de pacotes falsos sobrecarregam o servidor.

O servidor atrás da página

Embora servidores sejam máquinas de grande capacidade de processamento, elas possuem um limite nessa capacidade, bem como em sua memória e é a partir disso que os ataques de DDoS se baseiam.

Como as placas de rede dessas máquinas também são limitadas, uma sobrecarga na troca de informações supera o limite máximo de dados que podem ser processados.

Existe ainda um limite de slots, e é isso que determina a quantidade de usuários simultâneos que podem ser atendidos.

Quando um servidor, como o descrito, é atacado; ele pode ter diversos objetivos, sendo os mais comuns a invasão para excluir arquivos essenciais e quebrar a página ou para roubar dados sigilosos, neste caso sendo comum o ataque a organizações com grande poder econômico visando lucro.

Botnets

A rede de Botnets é essencial em um ataque de DDoS. Ao contar com uma grande quantidade de máquinas realizando o ataque simultaneamente, se torna difícil frear o ataque, já que os profissionais da segurança de informação não conseguem criar protocolos para parar o acesso.

Do outro lado, o hacker utiliza um computador-mestre que pelo qual ele comanda essa rede que foi previamente infectada.

Ataques a camada sete

Também chamados de ataques a camada de aplicação, esse tipo de ataque é focado ma camada onde são geradas as páginas web e levadas como resposta para solicitações de HTTP.

Se torna especialmente difícil se defender de um ataque como esse, já que é complexo diferenciar o que é tráfego orgânico do que é gerado pelos bots.

Como se proteger dos ataques de DDoS?

As melhores formas de se defender mudam de acordo os tipos de ataque, daí a importância de uma política de segurança da informação que possua protocolos e controles pré-definidos para lidar com cada tipo de invasão.

A base da defesa nesse tipo de ataque é definir o que é tráfego real e o que é ação da Botnet.

É importante também lembrar que o trafego criado em um ataque DDoS é variável e pode estar acontecendo simultaneamente em diversas camadas ou focado em apenas uma.

O ideal é o direcionamento de uma ação de defesa para cada camada.

Um bom exemplo de ação defensiva é o roteamento blackhole, onde você pode concentrar o tráfego em uma rota blackhole.

Porém, nesse caso não será possível diferenciar o trafego real do tráfego de bots.

Limitação de taxa

A quantidade de solicitações que um servidor pode lidar por um período é chamada de limitação de taxa.

Embora não seja completamente eficaz, essa pode ser um estratégia para lidar com um ataque DDoS.

Ao reduzir a velocidade com que os scrapers roubam conteúdo, você ganha tempo para mitigar as tentativas sucessivas de login. Isso, porém, não impede a realização de ações básicas.

WAF

WAF é a abreviatura de Web Application Firewall.

Essa ação é focada em agir na camada sete.

O firewall irá ficar entre o provedor de origem e a rede de internet e fará a função de um proxy ao contrário.

Ao filtrar as solicitações com base em um grupo de regras de identificação de ferramentas de DDoS, os ataques a camada sete são bloqueados.

Difusão de rede anycast

Nessa defesa a estratégia é utilizar uma rede anycast para espalhar o tráfego de bots pela rede de servidores até que ele possa ser absorvido.

Esse tipo de defesa se limita pela capacidade dos servidores e pela qualidade da rede.

As vulnerabilidades podem não partir de novidades tecnológicas

A Engenharia Social pode representar uma grande vulnerabilidade durante períodos de adaptação como esse, e por isso, a Compugraf preparou um guia muito completo sobre o tema. Confira!

ebook engenharia social

Como a sua empresa lida com o acesso remoto dos arquivos corporativos?

Converse com um especialista em segurança da informação da Compugraf para descobrir como sua empresa pode implementar as melhores soluções de segurança durante a transformação digital e a mudança para o trabalho remoto!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?