O que é o canhão de íons de órbita alta (HOIC)?

O canhão de íons de órbita alta permite que os invasores lancem ataques DoS e DDoS usando o tráfego HTTP.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Defina a ferramenta de DDoS Canhão de Íons de Órbita Alta
  • Descreva os tipos de ataques que podem ser feitos com o HOIC
  • Aprenda como mitigar os ataques de HOIC

Copiar o link do artigo

O que é canhão de íons de órbita alta (HOIC)?

O Canhão de íons de órbita alta é uma ferramenta popular usada para lançar ataques DoS e DDoS com o objetivo de inundar a rede de uma vítima com o tráfego da web e derrubar um site ou serviço da web. É um software de código aberto facilmente disponível desenvolvido pelo grupo hacktivista Anonymous, e é um sucessor de uma ferramenta DDoS mais antiga chamada Canhão de íons de órbita baixa (ambos com o nome de armas de videogames de ficção científica). Enquanto a maioria das ferramentas de softwares maliciosos requer um alto nível de habilidade técnica, o HOIC oferece uma interface simples e fácil de usar, podendo ser ligado com o clique de um botão.

Embora seja usado em muitos ataques maliciosos e ilegais, o HOIC ainda está legalmente disponível porque tem aplicações como uma ferramenta de teste legítima para usuários que querem implementar um "teste de estresse" em suas próprias redes.

Como funciona o HOIC?

O HOIC funciona por meio de um ataque DDoS de inundação da camada de aplicativos HTTP, inundando o servidor da vítima com solicitações "GET" e "POST" ao HTTP com o objetivo de sobrecarregar a capacidade de solicitações do servidor. Para ataques avançados, podem ser usados scripts personalizados para atacar vários subdomínios do site da vítima de uma só vez. O HOIC também pode atacar até 256 sites simultaneamente, tornando possível aos usuários coordenar ataques simultâneos. Essa "abordagem ampla e indiscriminada" com vários invasores visando várias páginas e domínios diferentes ao mesmo tempo pode tornar os esforços de mitigação e detecção muito mais desafiadores.

Scripts de reforço integrados também ajudam os invasores a evitar a detecção. Além dos scripts de reforço, muitos usuários do HOIC também usam proxies suecos para ocultar sua localização (acredita-se que eles escolhem a Suécia devido às rígidas leis de privacidade de internet naquele país).

O lançamento de um ataque grave com o HOIC requer alguma coordenação, pois são necessários cerca de 50 usuários diferentes para lançar o ataque para o mesmo alvo simultaneamente. O Anonymous demonstrou a eficácia do HOIC em 2012, quando lançou com sucesso ataques contra várias grandes empresas discográficas, a RIAA, e até mesmo o FBI. Foi um dos maiores ataques DDoS da história e exigiu um número estimado de 27.000 computadores usando simultaneamente o HOIC.

O que pode deter um ataque de HOIC?

Existem várias estratégias para mitigar ataques de inundação HTTP do HOIC. A Filtragem de Reputação de IP (IPRF) é uma medida preventiva que verifica os endereços de IP recebidos nos bancos de dados de endereços de IP maliciosos conhecidos, mantendo o tráfego desses endereços fora da rede. Um Firewall de Aplicativos Web (WAF) pode definir regras de rate limiting que reduzirão o tráfego dos endereços de IP que estão fazendo solicitações em quantidades suspeitas. Também existem métodos para testar se um cliente web é legítimo, como a verificação por meio de um captcha e um método mais sofisticado que pede aos navegadores web que resolvam um simples problema de matemática sem interromper a experiência do usuário.

A proteção contra ataques HOIC deve ser incluída na maioria dos produtos e serviços de proteção contra DDoS. Um plano de proteção contra DDoS abrangente que inclua um WAF como o oferecido pela Cloudflare, proporciona uma forte defesa contra ataques na camada 7, como aqueles lançados pelo HOIC.