Ataques de negação de serviço distribuídos (DDoS)

O que é um ataque de negação de serviço distribuído (DDoS)?

DDoS, sigla para negação de serviço distribuído, é um ciber ataque que tenta interromper um servidor ou rede por meio de sobrecargas com tráfego falso da Internet, impedindo o acesso dos usuários e interrompendo as operações.

O objetivo do ataque de DDoS é atrapalhar a capacidade de uma organização de atender a seus usuários. Atores mal intencionados usam ataques de DDoS para:

• sabotar a concorrência
• vinganças internas
• atividades de estados-nação
• gerar caos/desordem

Qual a diferença entre ataques de DDoS e DoS?

A principal diferença entre esses ataques é a origem. Os ataques de DDoS são lançados de vários sistemas; já os ataques de DoS (negação de serviço) se originam de apenas um. Os ataques de DDoS são mais rápidos e mais difíceis de bloquear do que os ataques de DoS. Os ataques de DoS são mais fáceis de bloquear porque só uma máquina precisa ser identificada.

Como um ataque de DDoS funciona?

É impossível falar sobre ataques de DDoS sem abordar botnets. Uma botnet é uma rede de computadores infectados com malware que permite que um ator malicioso controle os computadores remotamente. Essas botnets são “distribuídas”, porque podem estar em qualquer lugar e pertencer a qualquer pessoa. Pessoas inocentes com computadores infectados podem nem saber que seus sistemas fazem parte de uma botnet.

Depois de criar uma botnet enorme com milhões de dispositivos comprometidos, um invasor por DDoS manda cada bot enviar solicitações ao endereço IP do alvo. O objetivo é exceder os limites de capacidade dos recursos da Web da vítima com um número avassalador de solicitações de conexão ou dados para interromper um dado serviço.

Tipos de ataques de DDoS

Ataques de DDoS podem ser classificados de várias formas, mas geralmente são agrupados em três tipos:

1. Ataque volumétrico

Botnets enviam quantidades enormes de tráfego falso para um recurso. Esse tipo pode utilizar inundações de ping, inundações de pacotes com endereços forjados ou inundações de UDP. Ataques com base em volume são medidos em bits por segundo (BPS).

2. Ataques da camada de rede

Ataques na camada de rede, às vezes chamados de ataques de protocolo, sobrecarregam um alvo com grandes volumes de pacotes. Esse tipo de ataque não exige conexões abertas do Protocolo de Controle de Transmissão (TCP) nem visa portas específicas. A intensidade de um ataque na camada de rede é medida em pacotes por segundo (PPS). Confira estes exemplos de ataques da camada de rede:

• Ataque Smurf: tentativa de sobrecarregar um servidor no nível da rede usando pacotes do Protocolo de Mensagens de Controle da Internet (ICMP) e explorando as vulnerabilidades de IP.
• SYN Flood: inicia conexões com um servidor sem fechá-las, o que sobrecarrega os servidores. Esse tipo de ataque usa uma grande quantidade de solicitações de handshake de TCP com endereços IP que sofreram spoofing.

3. Ataques na camada de aplicação

Os ataques na camada de aplicação abusam de solicitações comuns, como HTTP GET e HTTP POST. Esses ataques geram impactos sobre o servidor e o recurso de rede, ou seja: é possível alcançar o mesmo efeito disruptivo de outros tipos de ataques de DDoS usando menos largura de banda. Fazer a distinção entre tráfego legítimo e malicioso nessa camada é muito difícil, porque o tráfego não é fruto de spoofing e, portanto, aparenta ser normal. Um ataque na camada de aplicação é medido em solicitações por segundo (RPS). Ainda que muitos ataques tenham o volume como base, alguns ataques de negação de serviço distribuído são “lentos e constantes” e não são detectados porque enviam fluxos pequenos e constantes de solicitações que podem prejudicar o desempenho de forma imperceptível por longos períodos de tempo. Esse tipo de ataque lento visa servidores da Web baseados em threads e fazem com que os dados sejam transmitidos para usuários legítimos muito lentamente, mas não o suficiente para causar um erro de tempo limite. Slowloris, R.U.D.Y. e Sockstress são algumas ferramentas usadas em ataques lentos e constantes.

Por que ataques de DDoS são uma ameaça crescente?

O número de ataques de DDoS não para de crescer. Apesar de uma queda em 2018, quando o FBI fechou os maiores websites de contratação de DDoS na dark web, os ataques desse tipo tiveram um aumento de 151% no primeiro semestre de 2020. Em alguns países, os ataques de DDoS podem representar até 25% do tráfego total da Internet durante um ataque. O uso da Internet das Coisas (IoT) é o que mais impulsiona esse número. A maioria dos dispositivos de IoT não tem controles de segurança nem firmware integrado. Como o número de dispositivos de IoT é enorme e eles são frequentemente implementados sem passar por testes e controles de segurança, eles têm mais chances de serem sequestrados por botnets de IoT. Outros pontos de fraqueza são as interfaces de programação de aplicação, ou APIs. API são códigos que permitem o compartilhamento de dados por sistemas diferentes. Por exemplo, um website de viagens que publica horários de voos usa uma API para obter os dados da companhia aérea para a página do website. APIs “públicas”, que podem ser usadas por qualquer pessoa, podem ser mal protegidas. As vulnerabilidades mais comuns incluem verificação de autenticação fraca, segurança de endpoint inadequada, ausência de uma criptografia robusta e lógica de negócios falha.

Exemplos de ataques de DDoS

O segundo maior ataque de DDoS, e um dos mais famosos, aconteceu com um dos clientes dos serviços de nuvem do Google. Em dado momento, o cliente estava sendo bombardeado com 46 milhões de RPS (solicitações por segundo). O Google alertou o cliente sobre o ataque e conseguiu impedir que ele acontecesse dentro de uma hora. Em outubro de 2022, os websites de vários aeroportos dos EUA pararam de funcionar devido a um ataque de negação de serviço distribuído (DDoS). O ataque foi realizado por um grupo russo chamado KillNet. Por sorte, as operações do aeroporto não foram interrompidas, mas os viajantes e seus familiares não podiam consultar informações sobre os voos. Este ataque aconteceu alguns dias depois de vários websites do governo dos EUA, como o portal estadual do Colorado, também terem sofrido um ataque. Nenhum desses ataques resultou em impactos negativos a longo prazo e os websites agora estão funcionando corretamente. Qual foi o maior ataque DDoS já registrado? Quando se trata de ataques DDoS, o tamanho não importa. Nenhuma empresa está completamente segura. Até hoje, o  maior ataque DDoS ocorreu em fevereiro de 2023 contra a CloudFlare, com 71 milhões de RPS (requisições por segundo), superando o ataque sofrido pelo Google Cloud em junho de 2022 em 35%. Este foi o maior de dezenas de ataques DDoS detectados e mitigados durante o fim de semana de 11 de fevereiro, todos com uma média de 50 a 70 milhões de requisições por segundo (RPS).

Quais são os sinais de um ataque de negação de serviço distribuído (DDoS)?

As vítimas de ataques de DDoS geralmente percebem que a rede, website ou dispositivo usado está lento ou sem serviço. Mas esses sintomas não são exclusivos de ataques de DDoS – muitas coisas podem causá-los, como defeitos no servidor, aumentos legítimos do tráfego ou até mesmo cabos rompidos. É por isso que você não pode depender só de observações manuais e precisa usar uma ferramenta de análise de tráfego para detectar ataques de negação de serviço distribuídos.

Mitigação e proteção contra a DDoS

Para mitigar e se proteger contra a DDoS, é preciso adotar uma abordagem multifacetada – nenhuma ferramenta individual pode garantir a proteção total contra todos os tipos de ataque de negação de serviço distribuído (DDoS). Estas são algumas ferramentas básicas para adicionar ao seu kit:

Avaliação de riscos:

As empresas devem adotar uma abordagem proativa de proteção contra ataques de negação de serviço distribuído (DDoS). A primeira coisa a se fazer é tomar ciência de todas as vulnerabilidades e pontos fortes da sua empresa. Faça avaliações de risco em todos os seus ativos digitais (ou seja, redes, servidores, dispositivos, software) e prepare o melhor plano de mitigação para quando você precisar.

Firewall de aplicação Web (WAF):

Um WAF funciona como um ponto de verificação para aplicações da Web, porque é usado para monitorar solicitações de tráfego HTTP de entrada e filtrar o tráfego malicioso. Quando um ataque de DDoS na camada de aplicação é detectado, as políticas de WAF podem ser modificadas rapidamente para limitar a taxa de solicitações e bloquear o tráfego malicioso atualizando sua Lista de Controle de Acesso (ACL).

Gerenciamento e correlação de eventos de segurança (SIEM):

O SIEM é uma ferramenta que extrai dados de todos os cantos de um ambiente e os agrega em uma só interface central, aumentando a visibilidade das atividades maliciosas que podem ser usadas para qualificar alertas, criar relatórios e dar suporte às respostas a incidentes.

Redes de distribuição de conteúdo/balanceadores de carga:

As CDNs e os balanceadores de carga podem ser usados para mitigar o risco de sobrecarga do servidor e os problemas subsequentes de desempenho/disponibilidade, porque distribuem automaticamente os fluxos de tráfego entre vários servidores.

Roteamento de buraco negro

No roteamento de buraco negro, o administrador de rede envia todo o tráfego, seja bom ou ruim, por uma rota de buraco negro. A meta é eliminar TODO o tráfego da rede. O lado ruim disso é perder o tráfego legítimo e possivelmente algumas oportunidades comerciais.

Limitação de taxa

Limita o número de solicitações de serviço que sua rede recebe e aceita durante um período. Isso geralmente não basta para combater ataques de DDoS mais sofisticados. Por isso, ela precisa ser usada com outras estratégias de mitigação.