Os ataques de DDoS podem acontecer a partir de diferentes camadas de ataque, mas você sabe como o ataque ocorre em cada endpoint?
Os ataques DDoS (Distributed Denial of Device ou Ataques Distribuídos de Negação de Serviço) são ataques realizadas por um agente anônimo, normalmente com o objetivo de derrubar sites e servidores.
A partir de ações como essas, cibercriminosos conseguem sobrecarregar o servidor com um uma quantidade exorbitante de solicitações, de modo que se torna difícil para o servidor lidar com esse alto fluxo, forçando a desconexão.
Este fluxo irreal de tráfego é enviado de forma planejada a partir de máquinas infectadas (bots), forçando o servidor a perder sua capacidade de responder.
As máquinas infectadas criam uma rede chamada de Botnets. Em resumo, isso faz com que todos dispositivos na rede fiquem a mercê de hackers e os usuários não percebem nem mesmo que foram atacados.
Os meios mais comuns desse tipo de ataque, são:
Distribuição de Negação de Serviço ou Método da negação distribuída
Por esse método, os meios de comunicação se abrem por uma centena de máquinas infectadas. O hacker que possui acesso a esses dispositivos pode enviar os pedidos ao servidor a qualquer instante para derrubá-lo.
Daí o nome de negação distribuída, já que diversas máquinas realizam o ataque até que o servidor se torne incapaz de sustentar a demanda, resultado na desconexão.
Reflexão de tráfego
Esse tipo de ataque aproveita enquanto os servidores respondem os protocolos DNS e NTP, para maximizar seus esforços em um objetivo. Esse é o tipo de ataque mais utilizado em larga escala, pois utiliza vulnerabilidades nos protocolos de NTP para dispersar os ataques por uma rede de servidores válidos que atendam a esse protocolo.
Aqui também é utilizado protocolos básicos de Internet para sobrecarregar o objetivo com dados inúteis.
Existem casos em que o volume de requisições chegaram a 400 Gigabits por segundo.
“Handshake”
Normalmente, um computador abre uma linha TCP com o servidor, que responde e então espera até que o dispositivo complete o handshake. Porém, nesse tipo de ataque, o computador não o completa e mantêm o servidor em espera.
Aqui o objetivo é esgotar a capacidade dos servidores ou de seu firewall. São focados nas camadas 3 e 4 da pilha de protocolo. Um exemplo típico desse tipo de ataque é a sobrecarga SNY.
Método UDP
Esse método é extremamente veloz no ataque, pois utiliza-se dos servidores de DNS para iniciar a ação. Em geral, para se resolver problemas com a URL, a máquina utiliza o User Datagram Protocol (UDP).
Cibercriminosos se aproveitam da deficiência dos pacotes de UDP e criam um fluxo de mensagens para o servidor. Esse fluxo de pacotes falsos sobrecarregam o servidor.
O servidor atrás da página
Embora servidores sejam máquinas de grande capacidade de processamento, elas possuem um limite nessa capacidade, bem como em sua memória e é a partir disso que os ataques de DDoS se baseiam.
Como as placas de rede dessas máquinas também são limitadas, uma sobrecarga na troca de informações supera o limite máximo de dados que podem ser processados.
Existe ainda um limite de slots, e é isso que determina a quantidade de usuários simultâneos que podem ser atendidos.
Quando um servidor, como o descrito, é atacado; ele pode ter diversos objetivos, sendo os mais comuns a invasão para excluir arquivos essenciais e quebrar a página ou para roubar dados sigilosos, neste caso sendo comum o ataque a organizações com grande poder econômico visando lucro.
Botnets
A rede de Botnets é essencial em um ataque de DDoS. Ao contar com uma grande quantidade de máquinas realizando o ataque simultaneamente, se torna difícil frear o ataque, já que os profissionais da segurança de informação não conseguem criar protocolos para parar o acesso.
Do outro lado, o hacker utiliza um computador-mestre que pelo qual ele comanda essa rede que foi previamente infectada.
Ataques a camada sete
Também chamados de ataques a camada de aplicação, esse tipo de ataque é focado ma camada onde são geradas as páginas web e levadas como resposta para solicitações de HTTP.
Se torna especialmente difícil se defender de um ataque como esse, já que é complexo diferenciar o que é tráfego orgânico do que é gerado pelos bots.
Como se proteger dos ataques de DDoS?
As melhores formas de se defender mudam de acordo os tipos de ataque, daí a importância de uma política de segurança da informação que possua protocolos e controles pré-definidos para lidar com cada tipo de invasão.
A base da defesa nesse tipo de ataque é definir o que é tráfego real e o que é ação da Botnet.
É importante também lembrar que o trafego criado em um ataque DDoS é variável e pode estar acontecendo simultaneamente em diversas camadas ou focado em apenas uma.
O ideal é o direcionamento de uma ação de defesa para cada camada.
Um bom exemplo de ação defensiva é o roteamento blackhole, onde você pode concentrar o tráfego em uma rota blackhole.
Porém, nesse caso não será possível diferenciar o trafego real do tráfego de bots.
Limitação de taxa
A quantidade de solicitações que um servidor pode lidar por um período é chamada de limitação de taxa.
Embora não seja completamente eficaz, essa pode ser um estratégia para lidar com um ataque DDoS.
Ao reduzir a velocidade com que os scrapers roubam conteúdo, você ganha tempo para mitigar as tentativas sucessivas de login. Isso, porém, não impede a realização de ações básicas.
WAF
WAF é a abreviatura de Web Application Firewall.
Essa ação é focada em agir na camada sete.
O firewall irá ficar entre o provedor de origem e a rede de internet e fará a função de um proxy ao contrário.
Ao filtrar as solicitações com base em um grupo de regras de identificação de ferramentas de DDoS, os ataques a camada sete são bloqueados.
Difusão de rede anycast
Nessa defesa a estratégia é utilizar uma rede anycast para espalhar o tráfego de bots pela rede de servidores até que ele possa ser absorvido.
Esse tipo de defesa se limita pela capacidade dos servidores e pela qualidade da rede.
As vulnerabilidades podem não partir de novidades tecnológicas
A Engenharia Social pode representar uma grande vulnerabilidade durante períodos de adaptação como esse, e por isso, a Compugraf preparou um guia muito completo sobre o tema. Confira!
Como a sua empresa lida com o acesso remoto dos arquivos corporativos?
Converse com um especialista em segurança da informação da Compugraf para descobrir como sua empresa pode implementar as melhores soluções de segurança durante a transformação digital e a mudança para o trabalho remoto!