Como fazer DDoS | Ferramentas de ataque de DoS e DDoS

Como invasores sobrecarregam um servidor Web e interrompem o acesso a uma propriedade da Web?

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir ataques de DoS e DDoS
  • Descrever as ferramentas de DoS e DDoS usadas com mais frequência
  • Saiba como se defender contra as ferramentas de ataques de DDoS

Copiar o link do artigo

O que são ataques de DoS e DDoS?

Os ataques de DoS (negação de serviço) e DDoS (negação de serviço distribuída) são tentativas mal-intencionadas de interromper as operações normais de um servidor, serviço ou rede visados ao sobrecarregá-los com uma enchente de tráfego de internet.

Os ataques de DoS conseguem causar essa interrupção enviando o tráfego mal-intencionado a partir de uma única máquina, geralmente um computador. Os ataques podem ser muito simples. Um ataque básico de inundação de pings pode ser levado a cabo enviando mais solicitações de ICMP (ping) para o servidor visado do que este é capaz de processar e responder com eficiência.

Os ataques de DDoS, por outro lado, usam mais de uma máquina para enviar tráfego mal-intencionado ao seu alvo. Com frequência, essas máquinas fazem parte de uma botnet — um conjunto de computadores ou outros dispositivos que foram infectados com malware e, portanto, podem ser controlados remotamente por um invasor isolado. Em outros casos, vários invasores isolados deflagram ataques de DDoS trabalhando em conjunto para enviar tráfego de seus computadores individuais.

Os ataques de DDoS são mais comuns e mais prejudiciais na internet moderna por duas razões. Em primeiro lugar, as ferramentas de segurança modernas evoluíram para impedir alguns ataques de DoS comuns. Em segundo lugar, as ferramentas de ataques de DDoS se tornaram relativamente baratas e fáceis de operar.

Como são classificadas as ferramentas de ataque de DoS/DDoS?

Existem diversas ferramentas que podem ser adaptadas para deflagrar ataques de DoS/DDoS ou foram explicitamente projetadas para este fim. Esta categoria costuma ser constituída de “estressores”, ferramentas com o propósito declarado de ajudar pesquisadores de segurança e engenheiros de rede a realizar testes de estresse contra suas próprias redes, mas que também podem ser usadas para realizar ataques genuínos.

Algumas são especializadas e se concentram apenas em uma camada específica do modelo OSI, enquanto outras são projetadas para permitir diversos vetores de ataque. As categorias de ferramentas de ataque incluem:

Ferramentas de ataques lentos e de baixa intensidade

Como o próprio nome implica, esses tipos de ferramentas de ataque utilizam um baixo volume de dados e operam muito lentamente. Projetadas para enviar pequenas quantidades de dados por meio de múltiplas conexões para manter as portas de uma servidor visado abertas o máximo de tempo possível, essas ferramentas continuam a ocupar os recursos do servidor até que este se torne incapaz de manter conexões adicionais. Inesperadamente, os ataques lentos e de baixa intensidade podem, às vezes, se revelar eficazes mesmo quando não estiverem usando um sistema distribuído como uma botnet e são, de modo geral, usados por uma única máquina.

Ferramentas de ataque à camada de aplicação (L7)

Essas ferramentas são direcionadas à camada 7 do modelo OSI, onde ocorrem as solicitações baseadas na internet, como as de HTTP. Usando um tipo de ataque de inundação de HTTP para sobrecarregar um alvo com solicitações HTTP GET e POST, um agente mal-intencionado pode deflagrar um tráfego de ataque difícil de se distinguir das solicitações normais, enviadas por visitantes reais.

Ferramentas de ataque às camadas de protocolo e transporte (L3/L4)

Aprofundando-se na pilha de protocolos, essas ferramentas usam protocolos como o UDP para enviar grandes volumes de tráfego a um servidor visado, como durante uma inundação de UDP. Embora sejam em geral ineficazes individualmente, esses ataques são normalmente encontrados na forma de ataques de DDoS, nos quais o benefício de máquinas de ataque adicionais aumenta o efeito.

Quais são as ferramentas de ataque de Dos/DDoS usadas com mais frequência?

Algumas ferramentas usadas com frequência incluem:

Canhão de Íons de Órbita Baixa (LOIC)

O LOIC é um aplicativo de testes de estresse de código aberto, que permite que os ataques às camadas de protocolo TCP e UDP sejam realizados com o uso de uma interface WYSIWYG simples de usar. Devido à popularidade da ferramenta original, foram criados derivativos que permitem que ataques sejam lançados a partir de um navegador web.

Canhão de Íons de Órbita Alta (HOIC)

Essa ferramenta de ataque foi criada para substituir o LOIC, expandindo os recursos e adicionando personalizações. Usando o protocolo HTTP, o HOIC consegue deflagrar ataques direcionados que são difíceis de mitigar. O software foi desenvolvido para ter um mínimo de 50 pessoas trabalhando juntas em um esforço de ataque coordenado.

Slowloris

O Slowloris é uma aplicação projetada para instigar um ataque lento e de baixa intensidade a um servidor visado. O número de recursos necessário para criar um efeito prejudicial é relativamente limitado.

R.U.D.Y (R-U-Dead-Yet: Você já morreu?)

A R.U.D.Y. é outra ferramenta de ataque lento e de baixa intensidade desenvolvida para permitir que o usuário lance ataques com facilidade usando uma interface simples do tipo “aponte e clique”. O ataque abre diversas solicitações HTTP POST e, em seguida, mantém as conexões abertas o máximo de tempo possível para saturar lentamente o servidor visado.

Como posso me defender contra as ferramentas de DOS/DDoS?

Já que os ataques de DoS e DDoS assumem uma variedade de formas, mitigá-los requer uma variedade de táticas. As táticas mais comuns para parar os ataques de DDoS incluem:

  • Limitação de taxa (Rate Limiting): limita o número de solicitações que um servidor pode aceitar durante um determinado intervalo de tempo
  • Web application firewalls: ferramentas que filtram o tráfego da web com base em uma série de regras
  • Difusão da rede Anycast: coloca uma ampla rede distribuída na nuvem entre um servidor e o tráfego de entrada, fornecendo recursos adicionais de computação com os quais responder às solicitações

A Cloudflare aplica todas essas estratégias e muitas outras para se defender contra os maiores e mais complexos ataques de DoS e DDoS. Saiba mais sobre a proteção contra DDoS da Cloudflare e como ela funciona.