O que é um ataque de DDoS?

Atualmente, os ataques de DDoS são um grande problema da segurança na Internet. Explore mais detalhes sobre o funcionamento dos ataques de DDoS e como eles podem ser interrompidos.

DDoS

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Definir um ataque de DDoS
  • Explicar a estrutura geral de um ataque de DDoS
  • Diferenciar entre as três categorias principais de ataques de DDoS
  • Conheças as diversas estratégias de mitigação de DDoS

O que é um ataque de DDoS?

Um ataque distribuído de negação de serviço (DDoS) é uma tentativa maliciosa de interromper o tráfego normal de um servidor, serviço ou rede, por meio da sobrecarga do alvo ou de sua infraestrutura, com uma inundação de tráfego de Internet. Os ataques de DDoS são bem sucedidos por meio da utilização de vários sistemas de computadores comprometidos como fontes de tráfego de ataque. As máquinas exploradas podem incluir computadores e outros recursos de rede, como dispositivos da Internet das coisas. A partir de um nível elevado, um ataque de DDoS é como um engarrafamento que bloqueia uma estrada, impedindo o tráfego normal de chegar ao seu destino desejado.

DDoS Attack Traffic Metaphor

Como funciona um ataque de DDoS?

Um ataque de DDoS exige que o responsável pelo ataque adquira o controle de uma rede de máquinas online para que seja possível realizar um ataque. Computadores e outras máquinas (como dispositivos IdC) são infectadas com malware, transformando cada uma em um bot (ou zumbi). O agressor, em seguida, terá o controle remoto sobre o grupo de bots, que é chamado de Botnet.

Após um botnet ser definido, o responsável pelo ataque consegue direcionar as máquinas enviando instruções atualizadas para cada bot por meio de um método de controle remoto. Quando o Endereço de IP de uma vítima é atacada pela botnet, cada bot vai responder enviando solicitações para o alvo, possivelmente ultrapassando a capacidade do servidor ou da rede de destino, resultando em uma negação de serviço para o tráfego normal. Como cada bot é um dispositivo de Internet legítimo, separar o tráfego de ataque do tráfego normal pode ser uma tarefa difícil.

Quais são os tipos comuns de ataques de DDoS?

Diferentes vectores de ataque de DDoS atacam componentes diferentes de uma conexão de rede. Para entender o funcionamento de diversos ataques de DDoS, é preciso saber como uma conexão de rede é feita. Uma conexão de rede da Internet é composta de muitos componentes diferentes ou “camadas”. Como a construção de uma casa a partir do zero, cada passo do modelo tem uma finalidade diferente. O Modelo OSI, mostrado abaixo, é um quadro conceitual usado para descrever a conectividade da rede em 7 camadas distintas.

7 Layers of the OSI Model infographic

Embora quase todos os ataques de DDoS envolvam a sobrecarga de um dispositivo ou uma rede de destino com tráfego, os ataques podem ser divididos em três categorias. O responsável pelo ataque pode fazer uso de um ou vários vetores de ataque diferentes, ou vetores de ataque possivelmente baseados em contramedidas executadas pelo alvo.

Ataques de camada de aplicação

O objetivo do ataque:

Também conhecido como ataque de DDoS de camada 7, em referência à sétima camada do modelo OSI, o objetivo desses ataques é esgotar os recursos do alvo. Os ataques são direcionados à camada na qual as páginas Web são geradas no servidor e entregues como resposta às solicitações HTTP. Uma única solicitação HTTP apresenta baixo custo para ser executada no lado do cliente e pode ser de alto custo para o servidor de destino responder, já que o servidor muitas vezes precisa carregar vários arquivos e fazer diversas consultas de banco de dados para gerar uma página da Web. Os ataques à camada 7 são difíceis de defender já que o tráfego pode ser difícil de ser marcado como malicioso.

HTTP Flood DDoS Attack

Ataque de inundação de HTTP

Esse ataque é semelhante a pressionar o botão de atualização de um navegador muitas e muitas vezes em muitos computadores diferentes ao mesmo tempo - um grande número de solicitações HTTP inundam o servidor, resultando na negação de serviço.

Esse tipo de ataque varia do simples ao mais complexo. Implementações mais simples podem acessar uma URL com a mesma amplitude dos ataques a endereços IP, referências e agentes de usuário. As versões complexas podem usar um grande número de endereços IP de ataque e direcionar para URLs aleatórias do alvo utilizando referências aleatórias e agentes de usuário.

Ataques de protocolo

O objetivo do ataque:

Os ataques de protocolo, também conhecidos como ataques de exaustão de estado, provocam a interrupção do serviço consumindo toda a capacidade da tabela de estados disponíveis dos servidores de aplicativos Web ou dos recursos intermediários, como firewalls e balanceadores de carga. Os ataques de protocolo utilizam pontos fracos da camada 3 e da camada 4 da pilha de protocolos para tornar o alvo inacessível.

Exemplo de ataque de protocolo:

SYN Flood DDoS attack animation

Ataque de inundação de SYN

Ataque de inundação de SYN é análogo a um trabalhador numa sala de fornecimento, que recebe pedidos na parte da frente da loja. O trabalhador recebe um pedido, pega o pacote e aguarda a confirmação antes de colocar o pacote no balcão. O trabalhador, em seguida, recebe muitos mais pedidos de pacotes sem confirmação até não conseguir mais levar nenhum pacote e ficar sobrecarregado. Assim os pedidos começam a ficar sem atendimento.

Este ataque explora o handshake TCP enviando a um alvo um grande número de pacotes SYN de “pedidos iniciais de conexão” TCP com endereços IP de origem falsificados. A máquina de destino responde a todas as solicitações de conexão e, em seguida, aguarda o passo final da negociação, o que nunca ocorre, esgotando os recursos do alvo no processo.

Ataques volumétricos

O objetivo do ataque:

Essa categoria de ataques tenta criar congestionamento por meio do consumo de toda a banda disponível entre o alvo e a Internet maior. Grandes volumes de dados são enviados para um alvo, utilizando uma forma de amplificação ou um outro meio de criação de tráfego em massa, como solicitações de uma rede de bots.

Exemplo de ataque de amplificação:

DNS Amplification DDoS attack animation

Ataque de amplificação de DNS

UMA Ataque de amplificação de DNS é como se alguém ligasse para um restaurante e dissesse “eu quero um pouco de tudo. Por favor, me ligue de volta e me diga todo o meu pedido”, e o número de telefone de chamada de retorno fornecido fosse o número do alvo. Uma resposta longa é gerada com muito pouco esforço.

Fazendo uma solicitação para um servidor DNS aberto com uma falsificado Endereço IP (o endereço IP real do alvo), o endereço IP de destino, em seguida, recebe uma resposta do servidor. O responsável pelo ataque estrutura as solicitações de modo que o servidor de DNS responda ao alvo com uma grande quantidade de dados. Como resultado, o alvo recebe uma amplificação da solicitação inicial de quem ataca.

Qual é o processo para mitigar um ataque de DDoS?

A principal preocupação na mitigação de um ataque de DDoS é a distinção entre o tráfego do ataque e o tráfego normal. Por exemplo, se o lançamento de um produto fizer com que o site da empresa seja inundado por clientes ansiosos, cortar todo esse tráfego será um erro. Se essa empresa tiver um aumento repentino no tráfego originado de conhecidos malfeitores, provavelmente serão necessários esforços para aliviar o ataque. A dificuldade está em distinguir o usuário real de um atraque de tráfego.

Na Internet moderna, o tráfego de DDoS surge em muitas formas. O tráfego pode se apresentar de diversas formas, desde ataques de origem única e não falsificada até ataques de DDoS multivetor que utilizam diversas vias de ataque para sobrecarregar o alvo de diversas formas, possivelmente desviando os esforços de mitigação para outra trajetória. Um ataque direcionado a diversas camadas da pilha de protocolos simultaneamente, como uma amplificação de DNS (direcionado às camadas 3 e 4) combinado com uma inundação de HTTP (direcionado à camada 7) é um exemplo de DDoS multivetorial.

A mitigação de um ataque de DDoS multivetor exige uma variedade de estratégias para combater diversas trajetórias. De um modo geral, quanto mais complexo o ataque, mais provável que o tráfego será difícil de se separar do tráfego normal - o objetivo do atacante é se misturar, tanto quanto possível, tornando a mitigação o mais ineficiente possível. Tentativas de mitigação que envolvem a queda ou a limitação de tráfego de forma indiscriminada, podem descartar tráfego bom junto com o ruim, e o ataque também pode modificar-se e adaptar-se para contornar as contramedidas. A fim de superar uma tentativa complexa durante a interrupção, uma solução em camadas proporcionará o melhor benefício.

Roteamento para buraco negro

Uma solução disponível para praticamente todos os administradores de rede é criar uma blackhole rotear e concentrar o tráfego nessa rota. Na sua forma mais simples, quando a filtragem de buraco negro é implementada sem critérios de restrição específicos, tanto o tráfego de rede legítimo como o malicioso são encaminhados para uma rota nula, ou de buraco negro, e são retirados da rede. Se uma propriedade da Internet estiver enfrentando um ataque de DDoS, o provedor de serviços de Internet (ISP) da propriedade poderá enviar todo o tráfego do site para um buraco negro como uma forma de defesa.

Rate Limiting

A limitação do número de solicitações que um servidor aceitará por um período de tempo é outra forma de mitigar os ataques de negação de serviço. Embora a limitação de taxa seja útil para reduzir a velocidade com que os raspadores da Web roubam conteúdo e para mitigar as tentativas de login por força bruta, por si só provavelmente será insuficiente para lidar de forma eficaz com um ataque de DDoS complexo. No entanto, a limitação de taxa é um componente útil de uma estratégia eficaz de mitigação de DDoS. Aprenda sobre Limitação de taxa da Cloudflare.

Firewall de aplicativo Web (WAF)

Um Firewall de aplicativo Web (WAF) é uma ferramenta capaz de ajudar a mitigar ataques de DDoS de camada 7. Ao colocar um WAF entre a Internet e um servidor de origem, o WAF pode atuar como um proxy reverso, protegendo o servidor de destino de certos tipos de tráfego malicioso. Ao filtrar as solicitações com base em uma série de regras usadas para identificar ferramentas de DDoS, os ataques de camada 7 podem ser impedidos. Um dos importantes valores de um WAF eficaz é a capacidade de implementar rapidamente regras personalizadas em resposta a um ataque. Aprenda sobre WAF da Cloudflare.

Difusão de rede Anycast

Essa abordagem de mitigação utiliza uma rede Anycast para dispersar o tráfego do ataque através de uma rede de servidores distribuídos até o ponto onde o tráfego é absorvido pela rede. É como canalizar um rio e dividi-lo em canais menores. Essa abordagem espalha o impacto do tráfego de ataque distribuído até que ele se torne gerenciável, diluindo qualquer possibilidade de interrupção.

A confiabilidade de uma Rede anycast para mitigar um ataque de DDoS depende do tamanho do ataque e do tamanho e da eficiência da rede. Uma parte importante da mitigação de DDoS implementada pela Cloudflare é o uso de uma rede Anycast distribuída. A Cloudflare tem uma rede 10 de TBPS, que tem uma ordem de grandeza superior à do maior ataque de DDoS já registrado.

Se você está atualmente sob ataque, há providências que você pode tomar para livrar-se da pressão. Se você estiver na Cloudflare, siga essas etapas para mitigar seu ataque. A proteção contra DDoS que vamos implementar na Cloudflare é multifacetada para mitigar os muitos vetores de ataque possíveis. Proteção contra DDoS da Cloudflare