Ataque DDoS: como funciona e quais os principais tipos?
Um ataque DDoS ou de negação de serviço distribuído) é uma tentativa mal-intencionada de tornar um serviço online indisponível para os usuários para interromper temporariamente ou suspender os serviços de seu servidor de hospedagem.
Ele é diferente de outros ataques de negação de serviço (DoS), pois usa um único dispositivo (mestre) conectado à Internet (uma conexão de rede) para gerenciar diversos outros incontáveis computadores (zumbis).
A maioria dos ataques dependem da atuação de botnets, que funcionam como um exército de robôs que podem ser controlados à distância por agentes maliciosos. Em outras palavras, por meio de um ataque DDoS, um “computador mestre” domina vários outros dispositivos fazendo-os acessar recursos determinados em servidores específicos, no mesmo momento.
Desta forma, todos os dispositivos dominados acessam juntos e de forma contínua o mesmo recurso de um mesmo servidor.
Classificação de ataques DDoS:
Proteger a sua empresa de um ataque DDoS não é uma tarefa fácil, principalmente se este ataque não for identificado corretamente.
Para ajudar você nesta missão, destacamos abaixo os tipos mais comuns de ataques DDoS:
- Ataques baseados em volume: São, de longe, os tipos mais comuns de ataques DDoS. Eles direcionam solicitações legítimas para um servidor DNS ou NTP por meio de um endereço IP falso. Quando estes servidores respondem à solicitação legítima, acabam servindo ao endereço de origem da solicitação, que por acaso é o endereço IP falsificado.
- Ataques por exploração de protocolos: Esse tipo de ataque consome recursos reais do servidor ou de equipamentos de comunicação intermediários, como firewalls e balanceadores de carga, e é medido em pacotes por segundo (Pps).
- Ataques de camada de aplicação: É composto de solicitações aparentemente legítimas e inocentes, o objetivo desses ataques é travar o servidor da Web e a magnitude é medida em pedidos por segundo (Rps).
Tipos mais comuns de ataques DDoS mais comuns
Alguns dos tipos de ataque DDoS mais usados incluem:
Inundação UDP
Uma inundação UDP, por definição, é qualquer ataque DDoS que inunda um servidor de destino com pacotes UDP (User Datagram Protocol). O objetivo do ataque é inundar portas aleatórias em um host remoto.
O servidor precisa responder a todos eles e isso faz com que o host verifique repetidamente se um dos seus aplicativos está atendendo a estas solicitações nestas portas.
Quando nenhum aplicativo é encontrado, o servidor devolve uma informação de indisponibilidade (“Destination Unreachable“) do ICMP. Esse processo absorve os recursos do host, o que pode levar à inacessibilidade.
Fluxo ICMP (Ping)
Semelhante em princípio ao ataque de inundação UDP, uma inundação ICMP sobrecarrega o recurso de destino com pacotes ICMP Echo Request (ping), enviando pacotes o mais rápido possível sem esperar por respostas.
Esse tipo de ataque DDoS pode consumir largura de banda de saída e de entrada, pois os servidores da vítima geralmente tentam responder com pacotes de resposta de eco ICMP, resultando em uma desaceleração geral significativa do sistema.
Inundações sincronizadas (SYN)
Um ataque DDoS de inundação sincronizado (SYN) explora uma fraqueza conhecida na sequência de conexão TCP, em que uma solicitação SYN para iniciar uma conexão TCP com um host deve ser respondida por uma resposta SYN-ACK desse host e então confirmada por uma resposta ACK do solicitante.
Em um cenário de sobrecarga SYN, o solicitante envia várias solicitações SYN, mas não responde à resposta SYN-ACK do host ou envia as solicitações SYN de um endereço IP falsificado.
De qualquer forma, o sistema host continua aguardando o reconhecimento de cada uma das solicitações, vinculando recursos até que nenhuma nova conexão possa ser feita e, em última análise, resultando em negação de serviço.
Ping da morte
Em um ataque de ping de morte, o invasor envia vários pings malformados ou mal-intencionados para um computador. O tamanho máximo do pacote IP (incluindo o cabeçalho) é de 65.535 bytes. No entanto, a Camada de enlace de dados geralmente impõe limites ao tamanho máximo do quadro — por exemplo, 1500 bytes em uma rede Ethernet.
Nesse caso, um grande pacote IP é dividido em vários pacotes IP (conhecidos como fragmentos) e o host do destinatário reagrupa os fragmentos IP no pacote completo.
Nesse cenário, após a manipulação mal-intencionada do conteúdo do fragmento, o destinatário acaba com um pacote IP que é maior que 65.535 bytes quando remontado. Isso pode sobrecarregar os buffers de memória alocados para o pacote, causando negação de serviço para pacotes legítimos.
Slowloris
O Slowloris é um ataque altamente direcionado, permitindo que um servidor web derrube outro servidor, sem afetar outros serviços ou portas na rede de destino.
Slowloris faz isso mantendo tantas conexões ao servidor web alvo abertas pelo maior tempo possível. Isso é feito criando conexões com o servidor de destino, mas enviando apenas uma solicitação parcial. O Slowloris envia constantemente mais cabeçalhos HTTP, mas nunca conclui uma solicitação.
O servidor de destino mantém cada uma dessas conexões falsas abertas. Isso eventualmente sobrecarrega o conjunto de conexões simultâneas máximo e leva à negação de conexões adicionais de clientes legítimos.
Amplificação
Nos ataques de amplificação, o criminoso explora servidores NTP (Network Time Protocol) publicamente acessíveis para sobrecarregar um servidor alvo com tráfego UDP.
O ataque é definido como um ataque de amplificação porque a proporção de consulta para resposta nesses cenários é entre 1:20 e 1:200 ou mais.
Isso significa que qualquer invasor que obtenha uma lista de servidores NTP abertos pode facilmente gerar um ataque DDoS devastador de alta largura de banda e alto volume.
Inundação HTTP
Em um ataque DDoS de inundação HTTP, o atacante explora solicitações HTTP GET ou POST aparentemente legítimas para atacar um servidor ou aplicativo da Web.
Inundações HTTP não usam pacotes malformados, técnicas de spoofing ou reflexão, e requerem menos largura de banda do que outros ataques para derrubar o site ou servidor alvo.
O ataque é mais eficaz quando força o servidor ou aplicativo a alocar o máximo de recursos possíveis em resposta a cada solicitação única.
Ataques DDoS de dia zero
A definição “zero-day”, ou dia zero, engloba todos os ataques desconhecidos ou novos, explorando vulnerabilidades para as quais nenhum patch foi lançado ainda.
O termo é bem conhecido entre os membros da comunidade de hackers, onde a prática da negociação de vulnerabilidades de dia zero se tornou uma atividade popular.
Motivações de um ataque DDoS
Os ataques DDoS estão rapidamente se tornando o tipo mais prevalente de ameaça cibernética, crescendo em número e volume, especialmente junto ao avanço da Internet das Coisas. Os atacantes são motivados principalmente por:
- Ideologias: os chamados “hacktivistas” usam ataques DDoS como meio de segmentar sites dos quais discordam ideologicamente;
- Feudos de negócios: as empresas podem usar ataques DDoS para derrubar estrategicamente websites de concorrentes, por exemplo, impedindo que participem de um evento significativo, como a Cyber Monday;
- Vandalismo cibernético: Por exemplo, “script-kiddies”, usam scripts pré-escritos para lançar ataques DDoS. Os perpetradores desses ataques são tipicamente hackers furiosos e pretensiosos à procura de uma descarga de adrenalina;
- Extorsão: os criminosos usam ataques DDoS ou a ameaça de ataques DDoS como meio de extorquir dinheiro de seus alvos.
No caso de empresas, a motivação de um ataque DDoS sempre esteve ligada a extorsão. Criminosos cibernéticos têm como alvo o comércios eletrônicos, seguros e instituições financeiras, fabricantes ou empresas do setor de saúde. Eles também buscam atacar data centers e organizações do setor público.
Por este motivo, é importante entender sobre estas ameaças e evitar que aconteçam, antes de efetivamente acontecer e sobretudo, utilizar recursos e soluções de segurança adequadas a realidade do seu negócio, afinal, toda indústria e toda empresa pode se tornar vítima de um ataque DDoS.
Agora que você já entende um pouco mais sobre o que é um ataque DDoS, quais os tipos mais comuns e suas principais características, chegou a hora de proteger o seu negócio. Entre em contato conosco e veja como a equipe da AllEasy pode te ajudar!