Este guia abrangente cobre diferentes tipos de ataques de negação de serviço, estratégias de proteção DDoS e por que isso é importante para os negócios.
Ataques de negação de serviço (DoS) são a arma cibernética de escolha tanto para os agentes de ameaças patrocinados pelo estado quanto para os criadores de scripts autônomos. Independentemente de quem os usa, os ataques de negação de serviço podem ser particularmente perturbadores e prejudiciais para as organizações visadas pelos cibercriminosos. Desde 2018, a frequência e o poder dos ataques DDoS têm aumentado , tornando-os um risco mais potente para as organizações.
A folha de dicas da TechRepublic sobre ataques de negação de serviço é um guia abrangente para este tópico. Este artigo será atualizado periodicamente à medida que as estratégias de ataque e mitigação evoluem. Também está disponível para download, Cheat sheet: Ataques de negação de serviço distribuída (DDoS) (PDF gratuito) .
Um ataque de negação de serviço (DoS) é uma estratégia de ataque em que um agente malicioso tenta impedir que outros acessem um servidor web, aplicativo web ou serviço em nuvem inundando-o com solicitações de serviço. Enquanto um ataque DoS é essencialmente de origem única, um ataque distribuído de negação de serviço (DDoS) usa um grande número de máquinas em redes diferentes para interromper um determinado provedor de serviço; isso é mais desafiador de mitigar, pois o ataque está sendo conduzido de várias fontes.
Após um poderoso ataque DDoS contra o popular aplicativo de mensagens seguro Telegram, a empresa descreveu os ataques DDoS como um caso em que "seus servidores recebem GADZILHÕES [sic] de solicitações de lixo que os impedem de processar solicitações legítimas. Imagine que um exército de lemingues acaba de pulou a fila do McDonald's na sua frente - e cada um está pedindo uma mentira. O garçom está ocupado dizendo aos lêmingues incríveis que eles vieram ao lugar errado, mas são tantos que o atendente nem consegue ver você para tentar e anote seu pedido. "
Normalmente, os ataques DDoS têm como alvo a infraestrutura de rede, com o objetivo de derrubar toda a pilha da rede. Em contraste, os ataques da camada de aplicativo visam a funcionalidade específica de um determinado site, com o objetivo de desabilitar um recurso específico ao estender o processo em excesso com um número excessivo de solicitações.
Outros tipos de ataques DDoS incluem ataques smurf , que usam um grande número de pacotes ICMP (Internet Control Message Protocol) com o endereço IP da vítima falsificado para aparecer como a origem.
Geralmente, os ataques DDoS podem ser categorizados como ataques de inundação, que visam sobrecarregar os sistemas, ou ataques de travamento, que tentam desativar um aplicativo ou sistema.
Quão simples de executar e prejudiciais são os ataques DDoS?
Executar um ataque DDoS não é algo que exija uma habilidade particular. "Um ataque DDoS não é um ataque sofisticado", disse Matthew Prince, CEO e cofundador da Cloudflare, à TechRepublic em 2015, após um ataque ao Protonmail . "É o equivalente funcional de um homem das cavernas com uma clava. Mas um homem das cavernas com uma clava pode causar muitos danos."
Embora seja relativamente seguro presumir que ataques DDoS de alta potência são o trabalho de profissionais, esses são ataques que até mesmo um script kiddie médio pode lançar com sucesso substancial. A indústria de ataques DDoS também deu origem à " negação de serviço como serviço ", também conhecido como serviços "inicializadores" ou "estressores", permitindo que os usuários conduzam um ataque DDoS em qualquer alvo arbitrário em troca de pagamento.
Por causa da facilidade com que os ataques DDoS podem ser lançados, eles podem ser usados por qualquer pessoa - desde hackers altamente financiados e patrocinados pelo estado a adolescentes com rancor de alguém.
Para as empresas, os danos potenciais decorrentes de uma interrupção são abrangentes. Seja por meio de vendas perdidas, um impacto sobre a reputação por tempo de inatividade ou custos relacionados a quantidades excessivas de tráfego de rede, os problemas potenciais que emanam de ataques DDoS são muito substanciais para serem ignorados. Esses riscos exigem medidas de mitigação proativas antes que um ataque seja lançado.
Quais são os maiores ataques DDoS observados?
Principalmente, os ataques de negação de serviço afetam o host conectado à Internet visado pelo invasor. Na prática, isso afeta a empresa que está sendo alvo de invasores, bem como os usuários do serviço que a empresa oferece. Qualquer organização pode ser alvo de um ataque de negação de serviço - devido à sua eficácia e relativa facilidade com que podem ser utilizados, eles são frequentemente implantados contra organizações menores com grande efeito.
Em fevereiro de 2018, uma série de ataques DDoS com recorde utilizando uma vulnerabilidade no protocolo memcached foram observados, potencializando falhas no protocolo de datagrama do usuário (UDP). Os relatórios iniciais do provedor de CDN Cloudflare observaram 260 Gbps de tráfego de entrada gerado em ataques DDoS movidos a memcached . Um dia depois, ataques baseados em memcached atingiram o GitHub em velocidades de pico de 1,35 Tbps . Em março de 2018, a Arbor Networks da NETSCOUT confirmou um ataque DDoS de 1,7 Tbps contra um de seus clientes.
Esses ataques DDoS de 2018 que atingiram o recorde são insignificantes em comparação com o último ataque DDoS em massa que atingiu a AWS da Amazon em fevereiro de 2020, que atingiu o máximo de 2,3 Tbps. A Amazon conseguiu mitigar o ataque usando seu software de proteção DDoS Amazon Shield .
Esses ataques são iniciados por um servidor que falsifica seu endereço IP - especificando o endereço de destino como o endereço de origem - e envia um pacote de solicitação de 15 bytes. Este pacote de solicitação é respondido por um servidor memcached vulnerável com respostas variando de 134KB-750KB. A disparidade de tamanho entre a solicitação e a resposta - até 51.200 vezes maior - é o que torna os ataques de amplificação tão eficazes. Quando a vulnerabilidade do memcached foi descoberta, 88.000 servidores desprotegidos a partir dos quais os ataques podiam ser iniciados estavam conectados à Internet.
É importante ressaltar que o ataque de 260 Gbps no Cloudflare foi observado em um máximo de 23 milhões de pacotes por segundo; devido às propriedades de amplificação, um número relativamente baixo de pacotes era necessário para realizar o ataque, mas com uma largura de banda relativamente alta. Em 2019, a Imperva observou um ataque DDoS que excedeu 500 milhões de pacotes por segundo - quatro vezes mais que o ataque do GitHub - colocando consideravelmente mais estresse nos sistemas de mitigação, já que eles normalmente inspecionam os cabeçalhos de cada pacote, embora normalmente não a carga útil completa.
Muitos ataques DDoS utilizam botnets de dispositivos comprometidos, particularmente dispositivos da Internet das Coisas (IoT). O botnet Mirai tem sido usado para afetar roteadores e dispositivos IoT e para atacar o provedor de DNS gerenciado Dyn , causando interrupções que afetam quase um quarto da Internet. Da mesma forma, Mirai foi usada em um ataque que interrompeu os serviços de Internet de toda a Libéria .
Os ataques DDoS estão ressurgindo, já que os ataques aumentaram 94% no primeiro trimestre de 2019 , de acordo com um relatório da Kaspersky Lab. Da mesma forma, ataques acima de 100 Gbps em 967% no primeiro trimestre de 2019 em comparação ao primeiro trimestre de 2018, de acordo com um relatório da Neustar.
Em um relatório divulgado em janeiro de 2021, a Akamai informou que 2020 foi o maior ano já registrado para ataques DDoS , com recordes estabelecidos durante o ano que ultrapassaram os máximos registrados em 2016. Os serviços empresariais viram um aumento de 960% nos ataques DDoS em 2020, e outras indústrias também foram duramente atingidas: ataques DDoS contra varejo e bens de consumo aumentaram 445%, serviços financeiros tiveram um aumento de 190% e serviços de software e tecnologia foram atacados 196% a mais em 2020, entre outros.
A Akamai disse que 2020 viu um grande pico em parte porque as restrições do COVID-19 aumentaram a dependência de ferramentas digitais, e previu que 2021 e além verá uma tendência de aumento contínuo no número e na gravidade dos ataques DDoS.
Também em 2020, uma tendência de ameaçar as empresas com ataques DDoS se um resgate não for pago apareceu, com demandantes de resgate alegando ser de grupos de hackers conhecidos como Fancy Bear, Lazarus Group e o Armada Collective. Os resgates começaram em 20 Bitcoins e aumentaram em 10 BTC a cada dia em que o resgate não foi pago. Todas as empresas visadas relataram estar sujeitas a um ataque DDoS, indicando que os invasores são graves. Os ataques ameaçaram ultrapassar 2Tbps, mas os ataques reais relatados estavam apenas na faixa de 300 Gbps, o que ainda pode ser devastador.
Como posso me proteger contra um ataque DDoS?
Existem maneiras de mitigar os efeitos dos ataques DDoS, permitindo que os sistemas direcionados continuem operando normalmente para os usuários, de forma transparente, como se nenhum ataque estivesse ocorrendo.
A primeira etapa é separar os usuários genuínos do tráfego gerado programaticamente usado em ataques DDoS. Isso pode ser feito usando filtragem de endereço IP, verificação de estado de cookie / sessão e impressão digital do navegador, entre outros métodos.
As estratégias de filtragem de tráfego incluem rastreamento de conexão, limitação de taxa, lista negra ou lista branca de tráfego. A mitigação manual de DDoS pode ser derrotada por atacantes avançados implantando ataques em estágios e remontando o ataque a partir de um conjunto diferente de dispositivos quando as conexões dos sistemas usados no primeiro estágio de ataque são recusadas.
A mitigação de DDoS baseada em nuvem está disponível por meio de provedores, incluindo AWS, Cloudflare, Imperva, Akamai, Radware, Coreo e Arbor Networks. Um dos métodos empregados por esses fornecedores inclui o rastreamento de endereços IP em sites protegidos por um determinado serviço para diferenciar usuários genuínos do tráfego gerado.
Sem comentários:
Enviar um comentário