O que é um ataque de negação de serviços (DoS)?
Um ataques de negação de serviços (DoS) é um ciber ataque que sobrecarrega uma máquina ou rede com solicitações falsas para interromper operações comerciais. Em um ataque de DoS, os usuários não conseguem executar tarefas rotineiras e necessárias, como acessar e-mails, websites, contas on-line ou outros recursos que são operados por um computador ou rede comprometidos.
Embora a maioria dos ataques de DoS não resultem em perda de dados e normalmente sejam resolvidos sem pagamento de resgate, eles custam à organização tempo, dinheiro e outros recursos para restaurar operações comerciais críticas.
Como os ataques de DoS funcionam?
Um ataque de negação de serviço (DoS) geralmente é executado por inundação do host ou rede alvo com um grande volume de requisições de serviço ilegítimas. Uma característica distintiva desses ataques é a utilização de endereços IP falsos, o que impede que o servidor realize a autenticação do usuário. Conforme o servidor processa essa avalanche de requisições falsas, ele fica sobrecarregado, resultando em lentidão e paralisação — impedindo o acesso de usuários legítimos. Para que a maioria dos ataques de DoS seja bem-sucedida, o ator malicioso precisa ter mais largura de banda disponível do que o alvo.
Tipos de ataques de DoS
Há dois tipos de ataques de DoS principais:
- Aqueles que causam falhas em serviços baseados na Web, chamados de transbordamento de dados.
- E ataques que os sobrecarregam, chamados ataques de inundação.
Essas duas categorias contêm vários subconjuntos, que variam de acordo com os métodos usados pelo adversário, o equipamento alvejado e a forma de medição do ataque.
| Tipo | Descrição | Exemplo |
|---|---|---|
| 1. Estouro de buffer | Os estouros de buffer são a forma mais comum de ataque de DoS. Nesse exploit, o adversário direciona mais tráfego para um endereço de rede do que o sistema consegue lidar. Esse processo leva a máquina a consumir todos os buffers disponíveis, que são áreas de armazenamento de memória utilizadas para guardar dados temporariamente durante a transferência na rede. Um estouro de buffer acontece quando o volume de dados supera toda a largura de banda disponível, incluindo espaço em disco, memória ou CPU, fazendo com que o sistema fique lento e trave. | Stack Overflow: é o tipo mais comum de ataque de estouro de buffer, no qual um programa de computador tenta usar o espaço da memória na pilha de chamadas à qual foi alocado. Ele substitui os limites anteriormente aplicáveis ao buffer. Unicode Overflow: gera um estouro de buffer pelo Unicode, onde qualquer caractere pode ser criado. O ataque começa quando o Unicode é inserido em uma entrada ASCII. Unicode e ASCII são padrões de codificação. Com eles, computadores conseguem representar textos. |
| 2. Ataques de inundação | Ataques de inundação acontecem quando o volume de tráfego direcionado ao sistema excede a capacidade do servidor de gerenciá-lo, causando lentidão e, potencialmente, paralisação. | Inundações ICMP: também conhecidos como ataques smurf ou de ping, abusam de configurações incorretas nos dispositivos de rede. Nesses ataques, adversários implementam pacotes de spoofing — ou endereços IP falsos — que enviam "pings" para todos os dispositivos da rede alvo sem esperar resposta. O grande volume de tráfego resultante sobrecarrega a rede, causando lentidão ou mesmo sua paralisação. Inundação SYN: envia uma solicitação de conexão para um servidor, mas nunca conclui o “handshake” com o host. As requisições continuam inundando o sistema até a saturação total de todas as portas abertas, de forma que não haja formas de acesso para usuários legítimos. |
Como identificar um ataque de DoS?
Qualquer usuário da rede pode identificar sinais de um ataque de DoS. São indicadores comuns:
- Lentidão no desempenho da rede para tarefas comuns, como download e upload de arquivos, login em contas on-line, acesso a websites e streaming de conteúdo de áudio ou vídeo.
- Impossibilidade de acessar recursos on-line, como websites, contas bancárias, plataformas de investimento, materiais didáticos ou prontuários médicos.
- Interrupção ou perda de conectividade em vários dispositivos conectados à mesma rede.
Infelizmente, para a maioria dos usuários, os sinais de um ataque de DoS são fáceis de confundir com problemas comuns de conexão, manutenções de rotina ou mesmo picos de acesso — o que frequentemente leva as pessoas a subestimarem a gravidade da situação.
DoS x DDoS
A distinção fundamental entre um ataque de negação de serviço distribuído (DDoS) e um ataque de DoS está na origem. Enquanto um ataque DDoS é uma ação coordenada, desencadeada a partir de vários pontos por diversos sistemas operando em conjunto, um ataque de DoS se caracteriza por ser uma ação isolada, originada de uma só fonte.
Em geral, um ataque de DDoS é considerado mais sofisticado e representa uma ameaça significativamente maior para as organizações, porque se aproveita de uma vasta rede de dispositivos distribuídos em diversas localizações geográficas, o que dificulta sua identificação, rastreamento e neutralização. Na maioria dos casos, os autores de ataques de DDoS usam botnets — redes compostas por computadores e dispositivos comprometidos, controlados por meio de um canal de comando e controle (C&C) — para executar esse tipo de ataque sincronizado.
Como reduzir o risco de ataques de DoS
Robin Jackson, consultor principal da CrowdStrike, compartilhou com as organizações várias recomendações para a prevenção, detecção e remediação de ciber ataques, incluindo ataques de DoS. Entre as dicas apresentadas na postagem do blog, destacam-se:
- Implemente um programa de treinamento contínuo e abrangente para seus funcionários, capacitando-os a identificar indicadores comuns de ataques cibernéticos e a adotar práticas on-line responsáveis e seguras.
- Verifique a veracidade das ameaças de extorsão, especialmente as que envolvem ataques de DoS de grande escala. Um parceiro especializado em cibersegurança pode auxiliar sua organização a investigar rapidamente a ameaça e avaliar o potencial de interromper suas operações — evitando perdas financeiras significativas caso a ameaça não se concretize.
- Realize exercícios de simulação de ataques e testes de penetração de forma rotineira para aprimorar suas capacidades de prevenção por meio da identificação de vulnerabilidades na arquitetura da rede.
- Isole seus backups para impedir sua identificação no caso de um ataque de ransomware com criptografia.
- Criptografe dados sensíveis tanto em repouso quanto em trânsito, mitigando os riscos de perda, vazamento ou roubo.
- Invista nas melhores ferramentas de monitoramento e análise para otimizar a visibilidade da rede.
- Crie um plano de comunicação detalhado para que sua empresa responda de forma rápida e transparente a perguntas da mídia, dúvidas de clientes e outras questões levantadas por partes interessadas.
- Entre em contato com as autoridades policiais para que os oficiais tenham mais informações sobre ciber criminosos e suas táticas.
Saiba mais
Saiba como a plataforma CrowdStrike Falcon® ajudou a identificar um ataque de DoS que afetava vários websites.
Leia: honeypots do Docker comprometidos usados em ataques de DoS
Bart é Gerente Sênior de Marketing de Produtos de inteligência de ameaças na CrowdStrike e tem mais de 20 anos de experiência em monitoramento, detecção e inteligência de ameaças. Depois de iniciar sua carreira como analista de operações de segurança de rede em uma organização financeira belga, Bart mudou-se para a Costa Leste dos EUA para atuar em diversas empresas de cibersegurança, incluindo 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi e FireEye-Mandiant, ocupando cargos de gestão e marketing de produtos.
