theNet by CLOUDFLARE

Os riscos que os ataques DDoS menores representam

Dados do relatório de DDoS mais recente

A Cloudflare observou e mitigou um grande número de ataques DDoS contra a infraestrutura de rede.Embora alguns desses ataques fossem bastante grandes, a maioria era pequena e curta.Essa tendência permaneceu consistente, mesmo quando o número geral de ataques aumentou e diminuiu, e diferentes protocolos de camada de rede ganharam e perderam popularidade entre os perpetradores de ataques.

Embora a perspectiva de ataques DDoS pequenos e curtos possa parecer encorajadora, esses ataques podem prejudicar redes desprotegidas ou subprotegidas. Eles também podem permitir que os invasores testem as defesas de uma organização sob pressão e podem distrair as equipes de segurança de ameaças independentes e mais sérias.

Quais tendências e táticas estão por trás da popularidade de ataques DDoS menores? E o que as organizações devem fazer para responder?


Ataques DDoS menores estão aumentando

Os ataques DDoS são projetados para explorar gargalos na infraestrutura de TI de uma organização e nos aplicativos que recebem o tráfego. Embora existam muitos tipos de ataques DDoS, a maioria usa uma das duas técnicas:

  • Grandes volumes de pacotes: qualquer servidor ou aplicativo tem um número limitado de solicitações simultâneas que pode processar.Ao exceder esses limites, é possível degradar ou destruir a capacidade dos aplicativos de processar solicitações legítimas.

  • Grandes volumes de dados: links de rede, servidores e aplicativos também têm limites na quantidade de dados que podem transmitir ou processar.Exceder essas limitações de largura de banda também pode derrubar um sistema.

A imagem abaixo, que se baseia nos dados da rede da Cloudflare do quarto trimestre de 2021, mostra que a grande maioria dos ataques não tentou usar a primeira técnica.Durante esses três meses, mais de 98% dos ataques DDoS tiveram taxas de um milhão de pacotes por segundo (pps) ou menos, uma tendência consistente com as descobertas dos trimestres anteriores.

Para referência, um ataque DDoS em larga escala contra o GitHub em 2018 atingiu taxas de 129,6 milhões de pacotes por segundo.No quarto trimestre de 2021, apenas 2% dos ataques DDoS atingiram um décimo desse tamanho, indicando que a maioria dos invasores está realizando ataques DDoS com volumes de pacotes menores.

O gráfico abaixo demonstra que a maioria dos ataques DDoS nas camadas 3/4 do quarto trimestre também não estava tentando sobrecarregar seus alvos com grandes volumes de dados. Na verdade, 97% de todos os ataques carregaram menos de meio gigabyte de dados por segundo.

Os invasores de DDoS não estão mais usando as mesmas táticas que eram comuns no passado. A razão para isso é que ataques mais curtos e menores podem fornecer vários benefícios diferentes.


Por que esses ataques mais curtos e menores são tão comuns?

A prevalência de ataques menores pode parecer incomum porque indica que os invasores de DDoS não estão usando todos os seus recursos. No entanto, há muitos motivos pelos quais ataques DDoS menores e mais curtos se tornaram mais comuns.

Razão 1: a ascensão do DDoS de aluguel

Nos últimos anos, as plataformas DDoS de aluguel tornaram-se cada vez mais populares.Nessas plataformas, também conhecidas como estressores, é possível alugar uma botnet de DDoS existente para realizar um ataque contra uma organização visada à escolha do cliente.

Em um site DDoS de aluguel, realizar um ataque curto e relativamente pequeno é muito barato, com preços variando de US$ 5 por 5 minutos a US$ 400 por um dia inteiro.À medida que esses ataques menores se tornam mais fáceis de lançar, acreditamos que eles vão continuar crescendo em popularidade.

Razão 2: mais infraestrutura de rede está se tornando vulnerável

Os cibercriminosos tendem a concentrar seus esforços onde podem ter o maior impacto. Uma maneira de fazer isso é atacando a infraestrutura de rede que já está lutando para gerenciar uma grande quantidade de tráfego.

Soluções de acesso remoto como VPNs e RDP são um exemplo.A pandemia da COVID-19 forçou muitas organizações a aumentar drasticamente o uso desses serviços, já que uma grande porcentagem da força de trabalho trabalha à distância.Esses aumentos podem sobrecarregar rapidamente o serviço, como visto em exemplos de organizações grandes e estabelecidas que precisam racionar o uso de VPN para evitar interrupções de rede mais amplas.

Com certeza, as soluções de acesso remoto têm sido alvo de ataques DDoS desde o início da pandemia.Nesse tipo de ataque, o perpetrador pode lançar um tráfego de ataque comparativamente menor e ainda interromper a capacidade da organização visada de lidar com esse tráfego.

Motivo 3: preparação para um pedido de resgate

Se uma empresa tiver uma solução de mitigação de DDoS, um pequeno ataque pode ter pouco ou nenhum impacto na disponibilidade de serviços para usuários legítimos. No entanto, esses pequenos ataques podem não ser o objetivo final do invasor.

Nos últimos anos, surgiram ataques DDoS com pedido de resgate em que um invasor ameaça realizar um ataque DDoS se um pedido de resgate não for atendido.Em muitos casos, os grupos que exigem o resgate se passam por agentes de ameaças conhecidos, como Fancy Bear, Cozy Bear ou o Lazarus Group, para induzir a vítima a pagar.

Um ataque DDoS de pequena escala pode ser usado como uma preparação para uma demanda de resgate de DDoS. Ao demonstrar a capacidade de realizar até mesmo um pequeno ataque DDoS, o invasor aumenta a probabilidade de uma organização visada pagar para evitar o risco de um ataque DDoS em larga escala.

Motivo 4: evasão de sistemas legados de mitigação de DDoS

As primeiras soluções de mitigação de DDoS foram projetadas para identificar e bloquear grandes volumes de tráfego. Esses sistemas só podem ser ativados se os volumes de tráfego excederem um limite definido.

Ataques DDoS de menor escala podem escapar das proteções fornecidas por soluções legadas de mitigação de DDoS que dependem desses limites para identificar um possível ataque. Ao permanecerem um pouco abaixo do limite no qual a defesa seria acionada, esses ataques podem interromper as operações das redes visadas sem a necessidade de sobrecarregar as defesas que a organização possa ter.

Motivo 5: exploração de defesa da rede

Ataques DDoS de larga escala podem ser caros e requerem recursos significativos para serem executados. O uso de um ataque DDoS pequeno por um invasor pode ser planejado como reconhecimento para um ataque posterior.

Se uma organização tiver uma solução de mitigação de DDoS, um pequeno ataque DDoS não terá impacto no desempenho do aplicativo sob ataque. Por outro lado, um aplicativo desprotegido pode sofrer latência mensurável até mesmo a partir de um pequeno ataque DDoS. Ao utilizar um ataque de menor escala, é possível identificar quais organizações possuem defesas e quais não possuem, o que fornece informações úteis para o planejamento de ataques posteriores.

Motivo 6: ocultação de outros ataques

Muitos ataques DDoS são projetados para serem perceptíveis. Se bem-sucedido, um ataque DDoS derruba o aplicativo da rede sob ataque, fornecendo à equipe de segurança de uma organização um problema claro que precisa ser resolvido. A importância da infraestrutura de rede para comunicação e prestação de serviços aos clientes faz com que o ataque seja uma prioridade.

Por esses motivos, os ataques DDoS podem ser usados como uma “cortina de fumaça” para outros tipos de ataques que podem ser detectados e bloqueados por uma equipe de segurança alerta. Se uma organização está focada em resolver o ataque DDoS, ela pode não prestar atenção suficiente para perceber uma tentativa de violação de dados ou infiltração de malware na rede. Um ataque DDoS de pequena escala pode não ser suficiente para derrubar os sistemas de uma organização, mas pode ser suficiente para desviar a atenção da ameaça real.


Que riscos esses ataques menores representam?

Embora ataques DDoS menores possam parecer menos uma ameaça imediata do que os maiores, eles ainda apresentam uma série de riscos às organizações. Em alguns casos, um pequeno ataque ainda pode derrubar a infraestrutura ou, no mínimo, prejudicar seu desempenho. Além disso, ataques DDoS menores podem ajudar os invasores a procurar brechas de segurança ou distrair seus alvos de outros ataques usando métodos completamente diferentes.

Risco 1: derrubar infraestrutura vulnerável

As organizações que implementaram uma solução robusta de mitigação de DDoS estarão protegidas até mesmo dos maiores ataques de DDoS. O mesmo não pode ser dito de redes desprotegidas ou subprotegidas, especialmente se essas redes já estiverem sobrecarregadas.

Um pequeno ataque DDoS envolve até meio gigabyte de dados maliciosos atingindo a infraestrutura de rede de uma organização a cada segundo. A rede de uma organização pode ter possíveis gargalos, incluindo:

  • Largura de banda de rede

  • Conexões TCP abertas

  • Utilização da CPU

Se a capacidade de qualquer um desses recursos for excedida pelo ataque, a rede não poderá processar solicitações legítimas.

Risco 2: redução do desempenho da rede

Qualquer solicitação, legítima ou não, à rede de uma organização consome recursos. Em circunstâncias normais, a maioria das solicitações é legítima e quaisquer solicitações maliciosas têm um impacto pequeno ou insignificante.

Durante um ataque DDoS, por outro lado, as solicitações maliciosas podem superar o tráfego legítimo, geralmente em ordens de magnitude. Mesmo que um ataque não derrube o serviço visado, aumentar os custos operacionais do site em ordens de magnitude pode ter um impacto significativo nos resultados financeiros de uma organização. O custo de processamento de solicitações de spam consome recursos computacionais e, se uma empresa tiver um serviço de mitigação de DDoS medido, o custo da proteção pode ser alto.

Risco 3: consequências pós-ataque

O impacto de um ataque DDoS também pode durar muito tempo após a conclusão do ataque. Em alguns casos, um ataque DDoS pode apenas fazer com que um aplicativo fique incapaz de responder a solicitações legítimas enquanto o ataque está ocorrendo, mas retorna ao normal após a conclusão. Em outros, um ataque pode causar a queda de aplicativos ou servidores, forçando as equipes de TI a reiniciar as máquinas ou softwares e restaurar quaisquer dados perdidos (se possível). No segundo cenário, um ataque curto e pequeno pode ter um impacto prolongado, apesar de um preço relativamente baixo.


O que as organizações devem fazer para se prepararem para esses riscos?

A melhor maneira de uma organização se preparar para um ataque DDoS é implantar uma solução de mitigação de DDoS. No entanto, nem todas as soluções de mitigação de DDoS são criadas iguais. Algumas das principais qualidades a serem procuradas incluem:

  • Proteção sempre ativa: algumas soluções de mitigação de DDoS não são ativadas até que o tráfego malicioso atinja um determinado limite.Infelizmente, ataques DDoS de pequena escala podem passar despercebidos por essas soluções.Uma solução de mitigação de DDoS sempre ativa oferece proteção contínua contra ataques.

  • Integração de segurança: os ataques DDoS podem ser projetados para atuar como uma cortina de fumaça para outro ataque.Uma solução DDoS integrada a outras ferramentas de segurança pode ajudar a identificar o ataque que um pequeno ataque DDoS está tentando ocultar.

  • Depuração baseada em borda: enviar todo o tráfego de rede para um sistema central para inspeção e depuração aumenta a latência da rede.Os depuradores devem ser distribuídos na borda da rede para minimizar os impactos no desempenho.

  • Mitigação de DDoS não medida: alguns fornecedores cobram com base na largura de banda de rede usada no pico do ataque, o que pode ser incapacitante no caso de ataques de larga escala.Procure uma solução de DDoS que evite o aumento de preços.

Os ataques DDoS estão se tornando mais comuns e as técnicas de ataque estão evoluindo de ataques em larga escala para se concentrar em campanhas DDoS menores e mais curtas.Garantir alta disponibilidade e desempenho de serviços da web requer investimento em uma solução líder de mitigação de DDoS.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.


Principais conclusões

Após ler este artigo, você entenderá:

  • Os tipos mais comuns de ataques DDoS

  • Seis razões pelas quais estes ataques estão aumentando

  • Os três principais riscos associados

  • A principal mitigação de DDoS


Recursos relacionados


Saiba mais sobre esse assunto

Leia como o Magic Transit da Cloudflare protege redes contra ataques DDoS enquanto melhora o desempenho.

Get the whitepaper

Receba um resumo mensal das informações mais populares da internet.