O que é DDoS Booter/IP Stresser? | Ferramentas de ataque de DDoS

Ataques de DDoS, em pacotes de serviços SaaS, estão disponíveis por um preço modesto.

Share facebook icon linkedin icon twitter icon email icon

DDoS Booter

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Saiba mais sobre Booters e IP stressers
  • Saiba mais sobre ferramentas de ataques de DDoS
  • Saiba mais sobre crime como modelo de negócio

O que é IP stresser?

IP stresser é uma ferramenta desenvolvida para testar uma rede ou servidor quanto à sua robustez. O administrador pode executar um teste de estresse para determinar se os recursos existentes (largura de banda, CPU, etc.) são suficientes para lidar com cargas adicionais.

O teste de sua própria rede ou servidor é um uso legítimo de um stresser. O uso contra a rede ou servidor de um terceiro, causando negação de serviço aos seus usuários legítimos, é ilegal na maioria dos países.

O que são serviços de booter?

Booters, também conhecidos como serviços de booter, são serviços on-demand de ataques de DDoS (ataques distribuídos de negação de serviço) oferecidos por criminosos pagos para prejudicar sites ou redes. Em outras palavras, booters são o uso ilegítimo de IP stressers.

IP stressers ilegítimos normalmente ocultam a identidade do servidor de ataque com o uso de servidores proxy. O proxy redireciona a conexão do invasor e, ao mesmo tempo, mascara o seu endereço IP.

Booters são engenhosamente empacotados como SaaS (Software como Serviço), normalmente com suporte de e-mail ou tutoriais do YouTube. Os pacotes podem oferecer o serviço de uma única vez, diversos ataques em um período de tempo definido ou mesmo acesso “vitalício”. As opções de pagamento podem incluir cartão de crédito, Skrill, PayPal ou bitcoins (embora a PayPal cancele as contas caso más intenções sejam comprovadas).

Como IP booters se diferenciam de botnets?

A botnet é uma rede de computadores cujos proprietários não têm consciência de que os seus computadores foram infectados com malware e são usados em ataques na Internet. Booters são serviços DDoS de aluguel.

Tradicionalmente, os booters usavam botnets para lançar ataques, mas, à medida que ficaram mais sofisticados, eles estão ostentando servidores mais potentes para, como dizem os serviços de booter, “ajudar a lançar o seu ataque”.

Quais são as motivações por trás de ataques de negação de serviço?

São muitas as motivações por trás de ataques de negação de serviço: skiddies* que praticam as suas habilidades de hackers, rivalidades entre empresas, conflitos ideológicos, terrorismo patrocinado por governos ou extorsão. PayPal e cartões de crédito são os métodos preferidos de pagamento a ataques de extorsão. O Bitcoin também é usado porque oferece a capacidade de esconder a identidade. Uma desvantagem do bitcoin, pelo ponto de vista dos invasores, é que menos pessoas usam bitcoins em comparação às outras formas de pagamento.

*Script kiddie, ou skiddie, é um termo depreciativo para vândalos da Internet relativamente pouco qualificados que usam scripts ou programas desenvolvidos por terceiros para lançar ataques a redes ou sites. Eles buscam vulnerabilidades de segurança relativamente conhecidas e fáceis de explorar, geralmente sem considerar as consequências.

O que são ataques de amplificação e de reflexão?

Ataques de reflexão e amplificação usam o tráfego legítimo para sobrecarregar a rede ou servidor alvo.

A situação na qual um invasor falsifica o endereço IP da vítima e envia uma mensagem a um terceiro se passando por ela é conhecida como falsificação de endereço IP. O terceiro não tem como fazer distinção entre o endereço IP da vítima e o endereço IP do invasor. Ele responde diretamente à vítima. O endereço IP do invasor aparece oculto para a vítima e para o servidor do terceiro. O processo se chama reflexão.

Em termos práticos, é como se o invasor pedisse pizza para a casa da vítima se passando pela vítima que, por sua vez, acaba devendo à pizzaria uma pizza que não pediu.

A amplificação de tráfego acontece quando o invasor força o servidor de um terceiro a enviar respostas de volta à vítima com o máximo de dados possível. A razão entre os tamanhos da resposta e da solicitação é conhecido como fator de amplificação. Quanto maior a amplificação, maior a possível interrupção da vítima. O servidor do terceiro também sofre interrupção devido ao volume de solicitações falsificadas que precisa processar. A amplificação de NTP é um exemplo desse tipo de ataque.

Os tipos mais eficazes de ataques de booter usam a amplificação e a reflexão. Primeiramente, o invasor falsifica o endereço do alvo e envia uma mensagem a um terceiro. Quando o terceiro responde, a mensagem é encaminhada ao endereço falsificado do alvo. A resposta é muito maior do que a mensagem original e, assim, amplifica o tamanho do ataque.

O papel de um único bot nesse ataque é parecido com o de um adolescente mal-intencionado que liga para o restaurante e pede todo o menu e, em seguida, solicita que liguem de volta para confirmar cada item. Entretanto, o número de retorno é o número da vítima. O resultado é que a vítima alvo recebe uma ligação do restaurante com uma inundação de informações que não solicitou.

Quais são as categorias de ataques de negação de serviço?

Os ataques à camada de aplicação se direcionam a aplicativos da Web e, geralmente, usam o máximo de sofisticação. Esses ataques aproveitam uma vulnerabilidade na camada 7 da pilha de protocolos, primeiro pelo estabelecimento de uma conexão com o alvo e, em seguida, pelo esgotamento dos recursos do servidor ao monopolizar processos e transações. São difíceis de identificar e mitigar. Um exemplo comum é um ataque de inundação de HTTP.

Os ataques baseados em protocolos têm como foco explorar vulnerabilidades na camada 3 ou 4 da pilha de protocolos. Esses ataques consomem todos os recursos de processamento da vítima ou outros recursos críticos (como o firewall, por exemplo), causando a interrupção do serviço. Inundação SYN e Ping of Death são alguns exemplos.

Ataques volumétricos enviam grandes volumes de tráfego no esforço de saturar a largura de banda da vítima. São gerados com facilidade com o uso de técnicas simples de amplificação, por isso são as formas mais comuns de ataque. Inundação de UDP , Inundação de TCP, Amplificação de NTP e Amplificação de DNS são alguns exemplos.

O que são ataques comuns de negação de serviço?

O objetivo dos ataques de DoS ou DDoS é consumir recursos suficientes do servidor ou da rede para que o sistema fique indisponível para solicitações legítimas:

  • Inundação de SYN: uma sucessão de solicitações SYN é direcionada ao sistema do alvo na tentativa de sobrecarregá-lo. Esse ataque aproveita a vulnerabilidade da sequência de conexões TCP, conhecida como handshake de três vias.
  • Inundação de HTTP: um tipo de ataque no qual solicitações GET ou POST por HTTP são usadas para atingir o servidor Web.
  • Inundação UDP: um tipo de ataque no qual portas aleatórias no alvo são sobrecarregadas por pacotes IP com datagramas UDP.
  • Ping of Death: ataques que envolvem o envio deliberado de pacotes IP maiores do que os permitidos pelo protocolo IP. Para lidar com grandes pacotes, a fragmentação de TCP/IP os desmembra em pacotes IP menores. Se os pacotes, quando reunidos, forem maiores do que os 65.536 bytes permitidos, em geral, os servidores antigos entrarão em colapso. Nos sistemas mais modernos, isso já foi totalmente resolvido. A inundação de Ping é a encarnação atual desse ataque.
  • Ataques ao protocolo ICMP: os ataques ao protocolo ICMP se aproveitam do fato de cada solicitação precisar de processamento pelo servidor antes de uma resposta ser enviada de volta. O ataque Smurf, a inundação de ICMP e a inundação de Ping aproveitam-se disso e inundam o servidor com solicitações ICMP sem esperar a resposta.
  • Slowloris:Inventado por Robert “RSnake” Hansen, esse ataque tenta manter diversas conexões com o servidor Web alvo abertas pelo máximo de tempo possível. Consequentemente, tentativas de conexão adicionais dos clientes serão negadas.
  • Inundação DNS: o invasor inunda servidores de DNS de um domínio específico na tentativa de interromper a resolução de DNS do domínio.
  • Ataque de lágrima: ataque que envolve o envio de pacotes fragmentados ao dispositivo alvo. Um erro no protocolo TCP/IP impede que o servidor reagrupe os pacotes, fazendo com que eles se sobreponham. O dispositivo visado entra em colapso.
  • Amplificação DNS: este ataque de reflexão transforma solicitações legítimas a servidores de DNS (sistema de nomes de domínio) em solicitações muito maiores, consumindo, no processo, os recursos do servidor.
  • Amplificação NTP: ataque de DDoS volumétrico de reflexão no qual o invasor explora uma funcionalidade de um servidor NTP (protocolo de tempo de rede) para sobrecarregar uma rede ou servidor visado com volume amplificado de tráfego UDP.
  • Reflexão SNMP: o invasor falsifica o endereço IP da vítima e envia várias solicitações SNMP (protocolo simples de gerenciamento de rede) aos dispositivos. O volume de respostas pode sobrecarregar a vítima.
  • SSDP: um ataque de SSDP (protocolo de descoberta de serviço simples) é um ataque de DDoS de reflexão que aproveita protocolos de rede UPnP (Universal Plug and Play) para enviar um volume de tráfego amplificado a uma possível vítima.
  • Ataque Smurf: este ataque usa um programa de malware chamado Smurf. Um grande número de pacotes de ICMP (protocolo de mensagens de controle da Internet) com o endereço IP falsificado da vítima é transmitido em uma rede de computadores usando um endereço de transmissão IP.
  • Ataque Fraggle: ataque semelhante ao Smurf, exceto por usar UDP em vez de ICMP.

O que deve ser feito no caso de um ataque de DDoS de extorsão?

  • Informar ao data center e ISP imediatamente.
  • O pagamento do resgate nunca deve ser uma opção. O pagamento geralmente leva a outras exigências de resgate.
  • As autoridades policiais devem ser notificadas.
  • O tráfego de rede deve ser monitorado.
  • Procurar planos de proteção contra DDoS, como o plano sem custos da Cloudflare.

Como ataques de botnet podem ser mitigados?

  • É preciso instalar firewalls no servidor.
  • Correções de segurança devem estar atualizadas.
  • Software antivírus deve ser executado na programação.
  • Logs do sistema devem ser monitorados regularmente.
  • Servidores de e-mail desconhecidos não devem ter permissão para distribuir o tráfego SMTP.

Por que serviços de booter são difíceis de rastrear?

A pessoa que adquire esses serviços criminosos usa um site de front-end para fazer o pagamento e obter instruções relacionadas ao ataque. Frequentemente, não há conexão identificável com o back-end que iniciou o ataque real. A única forma de localizar entidades criminosas é rastreando o pagamento.