O que é DDoS Booter/IP Stresser? | Ferramentas de ataque de DDoS

Ataques de DDoS, em pacotes de servidos SaaS, estão disponíveis por um preço modesto.

Share facebook icon linkedin icon twitter icon email icon

DDoS Booter

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Saiba mais sobre Booters e IP stressers
  • Saiba mais sobre ferramentas de ataques de DDoS
  • Saiba mais sobre crime como modelo de negócio

O que é IP stresser?

IP stresser é uma ferramenta desenvolvida para testar uma rede ou servidor quanto à sua robustez. O administrador pode executar um teste de estresse para determinar se os recursos existentes (largura de banda, CPU, etc.) são suficientes para lidar com cargas adicionais.

Testar a sua própria rede ou servidor é um uso legítimo de um stresser. Usá-lo contra a rede ou servidor de um terceiro, causando negação de serviço aos seus usuários legítimos, é ilegal na maioria dos países

O que são serviços de booter?

Booters, também conhecidos como serviços de booter, são serviços on-demand de ataques de DDoS (ataques distribuídos de negação de serviço) oferecidos por criminosos empreendedores para derrubar sites ou redes. Em outras palavras, booters são o uso ilegítimo de IP stressers.

IP stressers ilegítimos normalmente ocultam a identidade do serviço de ataque com o uso de servidores proxy. O proxy redireciona a conexão do invasor e, ao mesmo tempo, disfarça o seu endereço IP.

Booters são engenhosamente empacotados como SaaS (Software como serviço), normalmente com suporte de e-mail ou tutoriais do YouTube. Os pacotes podem oferecer o serviço de uma única vez, diversos ataques em um período de tempo definido ou mesmo acesso “vitalício”. Um pacote básico de um mês pode custar US$ 19,99. As opções de pagamento podem ser cartão de crédito, Skrill, PayPal ou Bitcoin (embora a PayPal cancele contas, se más intenções puderem ser comprovadas).

Como os IP booters se diferenciam do botnets?

O botnet é uma rede de computadores cujos proprietários não têm consciência de que os seus computadores foram infectados com malware e são usados em ataques na Internet. Booters são serviços DDoS-for-hire.

Tradicionalmente, booters usavam botnets para lançar ataques, mas, à medida que ficaram mais sofisticados, eles ostentam servidores mais potentes para, como dizem os serviços de booter, “ajudar a lançar o seu ataque”.

Quais são as motivações por trás de ataques de negação de serviço?

São muitas as motivações por trás de ataques de negação de serviço: skiddies* que praticam as suas habilidades de hackers, terrorismo patrocinado por governos ou extorsão. PayPal e cartões de credito são os métodos preferidos de pagamento de ataques de extorsão. Bitcoin também é usado porque oferece a capacidade de esconder a identidade. Uma desvantagem do Bitcoin, pelo ponto de vista dos invasores, é que menos pessoas usam bitcoins em comparação às outras formas de pagamento.

*Script kiddie, ou skiddie, é um termo depreciativo para vândalos da Internet relativamente pouco qualificados que usam scripts ou programas desenvolvidos por terceiros para lançar ataques a redes ou sites. Eles buscam vulnerabilidades de segurança relativamente conhecidas e fáceis de explorar, geralmente, sem considerar as consequências.

Que são ataques de amplificação e de reflexão?

Ataques de reflexão e amplificação usam o tráfego legítimo para sobrecarregar a rede ou servidor que é o alvo.

A situação na qual o invasor finge ter o endereço IP da vítima e envia uma mensagem se passando por ela, é conhecida como falsificação de endereço IP. O terceiro não tem como distinguir o endereço IP da vítima do endereço IP do invasor. Ele responde diretamente à vítima. O endereço IP do invasor aparece oculto para a vítima e para o servidor do terceiro. O processo se chama reflexão.

É semelhante ao invasor pedir pizzas para a casa da vítima enquanto finge ser a própria. No fim, a vítima acaba devendo à pizzaria pizzas que não pediu.

A amplificação de tráfego acontece quando o invasor força o servidor de um terceiro a enviar respostas de volta à vítima com o máximo de dados possível. A razão entre os tamanhos da respostas e da solicitação é conhecido como fator de amplificação. Quanto maior a amplificação, maior a possível interrupção da vítima. O servidor do terceiro também sofre interrupção devido ao volume de solicitações falsificadas que precisa processar. Amplificação de NTP é um exemplo desse ataque.

Os tipos mais eficazes de ataques de booter usam a amplificação e a reflexão. Primeiramente, o invasor finge ter o endereço do alvo e envia uma mensagem a um terceiro. Quando o terceiro responde, a mensagem é encaminhada ao endereço falsificado do alvo. A resposta é muito maior do que a mensagem original e, assim, amplifica o tamanho do ataque.

O papel de um único bot nesse ataque é parecido com o de um adolescente mal-intencionado que liga para o restaurante e pede todo o menu e, em seguida, solicita que liguem de volta para confirmar cada item. Entretanto, o número de retorno é o número da vítima. O resultado é que a vítima alvo recebe a ligação do restaurante com uma inundação de informações que não solicitou.

Quais são as categorias de ataques de negação de serviço?

Os ataques à camada de aplicação se direcionam a aplicativos da Web e, geralmente, usam o máximo de sofisticação. Esses ataques aproveitam uma vulnerabilidade na camada 7 da pilha de protocolos e, primeiramente, estabelecem uma conexão com o alvo e, em seguida, esgotam os recursos do servidor monopolizando processos e transações. Eles são difíceis de identificar e mitigar. Um exemplo comum é um ataque de inundação de HTTP.

Ataques a protocolos têm como foco explorar vulnerabilidades na camada 3 ou 4 da pilha de protocolos. Esses ataques consomem todos os recursos de processamento da vítima ou outros recursos críticos (o firewall, por exemplo), causando a interrupção do serviço. A Inundação SNY e Ping of Death são alguns exemplos.

Os ataques volumétricos enviam grandes volumes de tráfego no esforço de saturar a largura de banda da vítima. Os ataques volumétricos são gerados com facilidade com o uso de técnicas simples de amplificação, por isso são as formas mais comuns de ataque. Inundação de UDP, inundação de TCP, amplificação de NTP e amplificação de DNS são alguns exemplos.

O que são ataques comuns de negação de serviço?

O objetivo dos ataques de DoS ou DDoS é consumir recursos suficientes do servidor ou da rede para que o sistema fique indisponível para solicitações legítimas:

  • Inundação SNY: Uma sucessão de solicitações SYN é direcionada ao sistema do alvo na tentativa de sobrecarregá-lo. Esse ataque aproveita a vulnerabilidade na sequência de conexões TCP, conhecidas como handshake de três vias.
  • Inundação de HTTP: Um tipo de ataque no qual solicitações HTTP GET ou POST são usadas para atingir o servidor Web.
  • Inundação de UDP: Um tipo de ataque no qual portas aleatórias no alvo são sobrecarregadas por pacotes IP com datagramas UDP.
  • Ping of Death: Ataques que envolvem o envio deliberado de pacotes IP maiores do que os permitidos pelo protocolo IP. Para lidar com grandes pacotes, a fragmentação de TCP/IP os desmembra em pacotes IP menores. Se os pacotes, quando reunidos, forem maiores do que os 65.536 bytes permitidos, em geral, os servidores antigos entrarão em colapso. Nos sistemas mais modernos, isso já foi amplamente resolvido. A inundação de Ping é a encarnação atual desse ataque.
  • Ataques de protocolo ICMP: Ataques no protocolo ICMP se aproveitam do fato de cada solicitação requerer ser processada pelo servidor antes de uma resposta ser enviada de volta. O ataque Smurf, a inundação de ICMP e a inundação de Ping se aproveitam disso e inundam o servidor com solicitações ICMP sem esperar a resposta.
  • Slowloris: Inventado por Robert «RSnake» Hansen, esse ataque tenta manter diversas conexões abertas com o servidor Web alvo, o tempo máximo possível. Consequentemente, tentativas de conexão adicionais dos clientes serão negadas.
  • Inundação de DNS: O invasor inunda servidores de DNS de um domínio específico na tentativa de interromper a resolução de DNS do domínio.
  • Ataque Teardrop: O ataque que envolve enviar pacotes fragmentados ao dispositivo alvo. Um erro no protocolo TCP/IP impede que o servidor reagrupe os pacotes, fazendo que eles se sobreponham. O dispositivo alvo entra em colapso.
  • Amplificação de DNS: Esse ataque de reflexão torna solicitações legítimas a servidores de DNS (sistema de nomes de domínio) em solicitações muito maiores, no processo consume recursos do servidor.
  • Amplificação de NTP: Um ataque de DDoS volumétrico de reflexão no qual o invasor explora a funcionalidade de um servidor Network Time Protocol (NTP) para sobrecarregar uma rede ou servidor alvo com volume amplificado de tráfego UDP.
  • Reflexão de SNMP: O invasor falsifica o endereço IP da vítima e dispara diversas solicitações Simple Network Management Protocol (SNMP) a dispositivos. O volume de respostas pode sobrecarregar a vítima.
  • SSDP: Um ataque de SSDP (Simple Service Discovery Protocol) é um ataque de DDoS de reflexão que aproveita protocolos de rede Universal Plug and Play (UPnP) para enviar volume amplificado a uma vítima alvo.
  • Ataque Smurf: O ataque usa o programa malware chamado Smurf. Muitos pacotes de Internet Control Message Protocol (ICMP) com endereço IP falsificado da vítima são transmitidos em uma rede de computadores usando um endereço IP na difusão.
  • Ataque Fraggle: Ataque semelhante ao Smurf, exceto por usar UDP em vez de ICMP.

O que deve ser feito no caso de um ataque de DDoS de extorsão?

  • Informar ao data center e ISP imediatamente.
  • Pagar o resgate nunca deve ser uma opção; o pagamento geralmente leva a outras exigências de resgate.
  • Autoridades policiais devem ser notificadas.
  • O tráfego de rede deve ser monitorado.
  • Procurar planos de proteção contra DDoS, como o plano sem custos da Cloudflare.

Como ataques de botnet podem ser mitigados?

  • Firewalls devem ser instalados no servidor.
  • Correções de segurança devem estar atualizadas.
  • Software antivírus deve ser executado na programação.
  • Logs do sistema devem ser monitorados regularmente.
  • Servidores de e-mail desconhecidos não devem ter permissão para distribuir o tráfego SMTP.

Por que serviços de booter são difíceis de rastrear?

A pessoa que adquire esses serviços criminosos usa um site de front-end para fazer o pagamento e obter instruções relacionadas ao ataque. Frequentemente, não há conexão identificável com o back-end que iniciou o ataque real. Portanto, a intenção criminosa pode ser difícil de ser provada. Seguir o rastro do pagamento é a única forma de rastrear entidades criminosas.