Ataques de DDoS, em pacotes de serviços SaaS, estão disponíveis por um preço modesto, graças aos IP stressers.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Negação de serviço
Como fazer DDoS
O que é botnet de DDoS?
Internet das Coisas (IoT)
Roteamento para um black hole
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
IP stresser é uma ferramenta desenvolvida para testar uma rede ou servidor quanto à sua robustez. O administrador pode executar um teste de estresse para determinar se os recursos existentes (largura de banda, CPU, etc.) são suficientes para lidar com cargas adicionais.
O teste de sua própria rede ou servidor é um uso legítimo de um stresser. O uso contra a rede ou servidor de um terceiro, causando negação de serviço aos seus usuários legítimos, é ilegal na maioria dos países.
Booters, também conhecidos como serviços de booter, são serviços on-demand de ataques de DDoS (ataques distribuídos de negação de serviço) oferecidos por criminosos pagos para prejudicar sites ou redes. Em outras palavras, booters são o uso ilegítimo de IP stressers.
IP stressers ilegítimos normalmente ocultam a identidade do servidor de ataque com o uso de servidores proxy. O proxy redireciona a conexão do invasor e, ao mesmo tempo, mascara o seu endereço IP.
Booters são engenhosamente empacotados como SaaS (Software como Serviço), normalmente com suporte de e-mail ou tutoriais do YouTube. Os pacotes podem oferecer o serviço de uma única vez, diversos ataques em um período de tempo definido ou mesmo acesso “vitalício”. Um pacote básico de um mês pode custar apenas US$ 19,99. As opções de pagamento podem incluir cartão de crédito, Skrill, PayPal ou bitcoins (embora a PayPal cancele as contas caso más intenções sejam comprovadas).
A botnet é uma rede de computadores cujos proprietários não têm consciência de que os seus computadores foram infectados com malware e são usados em ataques na Internet. Booters são serviços DDoS de aluguel.
Tradicionalmente, os booters usavam botnets para lançar ataques, mas, à medida que ficaram mais sofisticados, eles estão ostentando servidores mais potentes para, como dizem os serviços de booter, “ajudar a lançar o seu ataque”.
São muitas as motivações por trás de ataques de negação de serviço: skiddies* que praticam as suas habilidades de hackers, rivalidades entre empresas, conflitos ideológicos, terrorismo patrocinado por governos ou extorsão. PayPal e cartões de crédito são os métodos preferidos de pagamento a ataques de extorsão. O Bitcoin também é usado porque oferece a capacidade de esconder a identidade. Uma desvantagem do bitcoin, pelo ponto de vista dos invasores, é que menos pessoas usam bitcoins em comparação às outras formas de pagamento.
*Script kiddie, ou skiddie, é um termo depreciativo para vândalos da Internet relativamente pouco qualificados que usam scripts ou programas desenvolvidos por terceiros para lançar ataques a redes ou sites. Eles buscam vulnerabilidades de segurança relativamente conhecidas e fáceis de explorar, geralmente sem considerar as consequências.
Ataques de reflexão e amplificação usam o tráfego legítimo para sobrecarregar a rede ou servidor alvo.
A situação na qual um invasor falsifica o endereço IP da vítima e envia uma mensagem a um terceiro se passando por ela é conhecida como falsificação de endereço IP. O terceiro não tem como fazer distinção entre o endereço IP da vítima e o endereço IP do invasor. Ele responde diretamente à vítima. O endereço IP do invasor aparece oculto para a vítima e para o servidor do terceiro. O processo se chama reflexão.
Em termos práticos, é como se o invasor pedisse pizza para a casa da vítima se passando pela vítima que, por sua vez, acaba devendo à pizzaria uma pizza que não pediu.
A amplificação de tráfego acontece quando o invasor força o servidor de um terceiro a enviar respostas de volta à vítima com o máximo de dados possível. A razão entre os tamanhos da resposta e da solicitação é conhecido como fator de amplificação. Quanto maior a amplificação, maior a possível interrupção da vítima. O servidor do terceiro também sofre interrupção devido ao volume de solicitações falsificadas que precisa processar. A amplificação de NTP é um exemplo desse tipo de ataque.
Os tipos mais eficazes de ataques de booter usam a amplificação e a reflexão. Primeiramente, o invasor falsifica o endereço do alvo e envia uma mensagem a um terceiro. Quando o terceiro responde, a mensagem é encaminhada ao endereço falsificado do alvo. A resposta é muito maior do que a mensagem original e, assim, amplifica o tamanho do ataque.
O papel de um único bot nesse ataque é parecido com o de um adolescente mal-intencionado que liga para o restaurante e pede todo o menu e, em seguida, solicita que liguem de volta para confirmar cada item. Entretanto, o número de retorno é o número da vítima. O resultado é que a vítima alvo recebe uma ligação do restaurante com uma inundação de informações que não solicitou.
Os ataques à camada de aplicação se direcionam a aplicativos da Web e, geralmente, usam o máximo de sofisticação. Esses ataques aproveitam uma vulnerabilidade na camada 7 da pilha de protocolos, primeiro pelo estabelecimento de uma conexão com o alvo e, em seguida, pelo esgotamento dos recursos do servidor ao monopolizar processos e transações. Eles são difíceis de identificar e mitigar. Um exemplo comum é um ataque de inundação de HTTP.
Ataques a protocolos têm como foco explorar vulnerabilidades na camada 3 ou 4 da pilha de protocolos. Esses ataques consomem todos os recursos de processamento da vítima ou outros recursos críticos (como o firewall, por exemplo), causando a interrupção do serviço. Inundação SYN e Ping of Death são alguns exemplos.
Os ataques volumétricos enviam grandes volumes de tráfego no esforço de saturar a largura de banda da vítima. Os ataques volumétricos são gerados com facilidade com o uso de técnicas simples de amplificação, por isso são as formas mais comuns de ataque. Inundação de UDP, inundação de TCP, amplificação de NTP e amplificação de DNS são alguns exemplos.
O objetivo dos ataques de DoS ou DDoS é consumir recursos suficientes do servidor ou da rede para que o sistema fique indisponível para solicitações legítimas:
A pessoa que adquire esses serviços criminosos usa um site de front-end para fazer o pagamento e obter instruções relacionadas ao ataque. Frequentemente, não há conexão identificável com o back-end que iniciou o ataque real. A única forma de localizar entidades criminosas é rastreando o pagamento.