Como funcionam os ataques DDoS de camada 3? | L3 DDoS

Os ataques DDoS de camada 3 usam protocolos de camada 3, especialmente o ICMP, para derrubar servidores, websites ou aplicativos visados.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Entenda o que significa "camada 3"
  • Aprenda a diferença entre os ataques DDoS de camada 3 e outros ataques DDoS
  • Explore os protocolos usados na camada 3, e como um invasor pode utilizá-los em um ataque DDoS

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que são ataques DDoS de camada 3?

Um ataque de negação de serviço distribuída (DDoS) tenta sobrecarregar seu alvo com grandes quantidades de dados. Um ataque DDoS é como um engarrafamento de trânsito obstruindo uma rodovia, evitando que o tráfego regular chegue ao seu destino.

Os ataques DDoS de camada 3 têm como alvo a camada 3 (L3) do modelo OSI. Assim como todos os ataques DDoS, o objetivo de um ataque de camada 3 é tornar um programa, serviço, computador ou rede lentos ou travá-los, ou ocupar toda a capacidade para que ninguém mais possa receber o serviço. Os ataques L3 DDoS normalmente fazem isso atacando equipamentos e infraestrutura de rede.

Existem algumas diferenças importantes entre os ataques DDoS de camada 3 e os ataques às camadas superiores:

  1. Os ataques de camada 3 visam a camada de rede, não os processos da camada de transporte ou da camada de aplicação (como os ataques DDoS de camada 7 e de camada 4 fazem)
  2. Os ataques de camada 3 não precisam abrir uma conexão TCP com o alvo primeiro
  3. Os ataques de camada 3 não visam uma porta específica

O que é o modelo OSI?

O modelo OSI é um modelo conceitual de como a internet funciona. Os principais objetivos do modelo OSI são ajudar as pessoas a falar sobre equipamentos e protocolos de rede, determinar quais protocolos são usados por qual software e hardware, e mostrar como a internet pode funcionar independentemente do hardware subjacente.

O modelo OSI divide as diferentes tecnologias que fazem a internet funcionar em camadas. São sete camadas no total:

Modelo OSI

O que é a camada 3 do modelo OSI?

A camada 3 do modelo OSI é chamada de camada de rede. A camada 3 compreende os protocolos e tecnologias que tornam as redes interconectadas ( isto é, a internet) possíveis. É nessa camada que ocorre o roteamento pelas redes. Os dados que cruzam as redes são divididos em pacotes e esses pacotes são endereçados e enviados aos seus destinos na camada 3. O protocolo mais importante para esse processo é o Protocolo de Internet (IP).

Os protocolos da camada 3 não abrem conexões, não garantem a entrega de dados confiáveis e não indicam qual serviço do dispositivo alvo deve usar os dados: esses são processos da camada 4. A camada 4 envolve o uso de protocolos de transporte como o TCP e o UDP. Enviar pacotes pelas redes sem um protocolo de transporte de camada 4 é como enviar uma carta para um endereço sem se certificar de que o endereço está correto, incluindo o nome de uma pessoa específica naquele endereço que deve abrir a carta, ou sem usar um serviço de entrega postal respeitável. Os dados podem chegar, ou não. É por isso que muitos protocolos de camada 3 são sempre usados em conjunto com um protocolo de transporte de camada 4 que garante que os dados serão enviados para o lugar certo.

Entretanto, ainda é possível enviar pacotes de dados para um destino de rede sobre IP sem o uso de um protocolo de transporte.

Como a camada 3 não tem conexão, os ataques DDoS da camada 3 não precisam abrir uma conexão com o TCP ou indicar atribuições de portas. Os ataques DDoS de camada 3 têm como alvo o software de rede que está sendo executado em um computador, em vez de uma porta específica.

Quais são os protocolos usados para a camada 3?

Esses são os protocolos de camada 3 mais amplamente utilizados, e os que tem mais probabilidade de serem usados em um ataque DDoS:

IP: O Protocolo de Internet (IP) roteia e direciona pacotes de dados para que eles cheguem ao destino correto. Cada dispositivo que se conecta à internet tem um endereço de IP, e o protocolo IP anexa o endereço de IP correto a cada pacote de dados: é como endereçar uma carta a alguém.

IPsec: O IPsec é na verdade um conjunto de vários protocolos, não um único protocolo. O IPsec é a versão criptografada do IP utilizada pelas VPNs, semelhante à diferença entre HTTPS e HTTP.

ICMP: O Protocolo de Mensagens de Controle da Internet (ICMP) lida com relatórios de erros e de testes. Como um protocolo sem conexão, o ICMP não usa protocolos de transporte como o TCP ou o UDP. Pelo contrário, os pacotes do ICMP são enviados somente por IP. Desenvolvedores e engenheiros de rede usam o ICMP para suas funções de ping e de traceroute. Normalmente, apenas um pacote ICMP precisa ser enviado por vez.

Outros protocolos de camada 3 incluem:

  • IGMP: O Protocolo de Gerenciamento de Grupos da Internet gerencia grupos de multicast de IP, permitindo que vários dispositivos dentro de uma rede recebam o mesmo tráfego de IP.
  • ARP: O Protocolo de Resolução de Endereços destina-se somente ao uso em uma única rede. Os computadores usam esse protocolo para mapear endereços de IP para endereços MAC dentro da rede (um endereço MAC é um identificador único conectado fisicamente a cada dispositivo com capacidade de acesso à internet, como uma impressão digital).

Ataques usando qualquer um desses protocolos são possíveis teoricamente. O ICMP é comumente usado para inundar um servidor com muitos pings para serem respondidos, ou com um grande pacote de ping que trava o dispositivo receptor (isto é conhecido como o " ping da morte" ). Os invasores podem usar o IPsec para inundar o alvo com dados indesejados ou com certificados de segurança extremamente grandes.

No entanto, nem todos esses protocolos são práticos para ataques DDoS e alguns tipos de ataques são impossibilitados pelas atualizações de hardware. Por exemplo, o ARP opera apenas em uma rede local, portanto, um invasor precisa primeiro se conectar à rede local antes de realizar o ataque DDoS. E os ataques de ping da morte do ICMP não são possíveis com os hardwares modernos, pois eles ignoram pacotes de IP muito grandes.

Como funcionam os ataques L3 DDoS?

Como acontece com outros tipos de ataques DDoS, o invasor envia um grande volume de tráfego de rede indesejado por meio desses protocolos. Há vários métodos para fazer isso, dependendo do protocolo. O tráfego indesejado atrapalha as solicitações legítimas dos usuários, retardando as respostas ou bloqueando-as completamente. Às vezes, os dados indesejados são tantos que sobrecarregam os recursos do alvo, que trava.

Quais são alguns dos tipos de ataques DDoS de camada 3 conhecidos?

Embora outros ataques sejam possíveis, incluindo ataques sobre IP apenas, os ataques baseados em ICMP são os mais comuns. Os bem conhecidos ataques ICMP incluem:

  • Inundação de ping: Em um ataque DDoS de inundação de ping, o invasor envia milhares ou mesmo milhões de solicitações de ping para um servidor de uma só vez.
  • Ataque Smurf: O ICMP não possui medidas de segurança ou de verificação em vigor, tornando possível que um invasor falsifique um endereço de IP em uma solicitação do ICMP. Em um ataque DDoS Smurf, o invasor envia solicitações de ping para milhares de servidores, falsificando o endereço de IP do alvo nas solicitações de ping para que as respostas sejam enviadas para o alvo e não para o invasor. A maioria dos hardwares modernos de rede já não é mais vulnerável a esse ataque.
  • Ping da morte: Em um ataque de ping da morte do ICMP, um invasor envia para o alvo uma solicitação de ping maior do que o tamanho máximo permitido. Os roteadores ao longo do caminho até o alvo irão fragmentar o ping em pacotes menores, para que o alvo os aceite, mas quando ele tenta remontar o pacote maior a partir dos fragmentos menores, o tamanho do pacote excede o limite e trava o alvo. Os dispositivos modernos não são mais vulneráveis a esse ataque.

Como a Cloudflare protege contra os ataques DDoS de camada 3?

Além de bloquear os ataques DDoS nas camadas 4 e 7, o Cloudflare mitiga os ataques DDoS de camada 3. O Cloudflare Magic Transit foi desenvolvido especificamente para impedir ataques à infraestrutura interna de rede, incluindo ataques DDoS a qualquer camada. O WAF e o CDN da Cloudflare também interrompem os ataques DDoS de camada 3 aceitando apenas o tráfego para as portas HTTP e HTTPS, que são apenas da camada 7.

O que é a camada 3 no modelo TCP/IP?

O modelo TCP/IP é um modelo alternativo de como funciona a rede. Em vez de sete camadas, o modelo TCP/IP possui quatro:

4. Camada de aplicação (corresponde às camadas 5-7 do modelo OSI)

3. Camada de transporte (corresponde à camada 4 do modelo OSI)

2. Camada da internet (corresponde à camada 3 do modelo OSI)

1. Camada de acesso à rede/links (corresponde às camadas 1-2 do modelo OSI)

Tomando como base o modelo TCP/IP em vez do modelo OSI, os ataques DDoS de camada 3 seriam chamados de ataques DDoS de camada 2.