Os ataques DDoS de camada 3 usam protocolos de camada 3, especialmente o ICMP, para derrubar servidores, websites ou aplicativos visados.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Camada 7
Ataque à camada de aplicação
O que é ataque DDoS?
O que é botnet de DDoS?
Ataque de DDoS ao Memcached
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Um ataque de negação de serviço distribuída (DDoS) tenta sobrecarregar seu alvo com grandes quantidades de dados. Um ataque DDoS é como um engarrafamento de trânsito obstruindo uma rodovia, evitando que o tráfego regular chegue ao seu destino.
Os ataques DDoS de camada 3 têm como alvo a camada 3 (L3) do modelo OSI. Assim como todos os ataques DDoS, o objetivo de um ataque de camada 3 é tornar um programa, serviço, computador ou rede lentos ou travá-los, ou ocupar toda a capacidade para que ninguém mais possa receber o serviço. Os ataques L3 DDoS normalmente fazem isso atacando equipamentos e infraestrutura de rede.
Existem algumas diferenças importantes entre os ataques DDoS de camada 3 e os ataques às camadas superiores:
O modelo OSI é um modelo conceitual de como a internet funciona. Os principais objetivos do modelo OSI são ajudar as pessoas a falar sobre equipamentos e protocolos de rede, determinar quais protocolos são usados por qual software e hardware, e mostrar como a internet pode funcionar independentemente do hardware subjacente.
O modelo OSI divide as diferentes tecnologias que fazem a internet funcionar em camadas. São sete camadas no total:
A camada 3 do modelo OSI é chamada de camada de rede. A camada 3 compreende os protocolos e tecnologias que tornam as redes interconectadas ( isto é, a internet) possíveis. É nessa camada que ocorre o roteamento pelas redes. Os dados que cruzam as redes são divididos em pacotes e esses pacotes são endereçados e enviados aos seus destinos na camada 3. O protocolo mais importante para esse processo é o Protocolo de Internet (IP).
Os protocolos da camada 3 não abrem conexões, não garantem a entrega de dados confiáveis e não indicam qual serviço do dispositivo alvo deve usar os dados: esses são processos da camada 4. A camada 4 envolve o uso de protocolos de transporte como o TCP e o UDP. Enviar pacotes pelas redes sem um protocolo de transporte de camada 4 é como enviar uma carta para um endereço sem se certificar de que o endereço está correto, incluindo o nome de uma pessoa específica naquele endereço que deve abrir a carta, ou sem usar um serviço de entrega postal respeitável. Os dados podem chegar, ou não. É por isso que muitos protocolos de camada 3 são sempre usados em conjunto com um protocolo de transporte de camada 4 que garante que os dados serão enviados para o lugar certo.
Entretanto, ainda é possível enviar pacotes de dados para um destino de rede sobre IP sem o uso de um protocolo de transporte.
Como a camada 3 não tem conexão, os ataques DDoS da camada 3 não precisam abrir uma conexão com o TCP ou indicar atribuições de portas. Os ataques DDoS de camada 3 têm como alvo o software de rede que está sendo executado em um computador, em vez de uma porta específica.
Esses são os protocolos de camada 3 mais amplamente utilizados, e os que tem mais probabilidade de serem usados em um ataque DDoS:
IP: O Protocolo de Internet (IP) roteia e direciona pacotes de dados para que eles cheguem ao destino correto. Cada dispositivo que se conecta à internet tem um endereço de IP, e o protocolo IP anexa o endereço de IP correto a cada pacote de dados: é como endereçar uma carta a alguém.
IPsec: O IPsec é na verdade um conjunto de vários protocolos, não um único protocolo. O IPsec é a versão criptografada do IP utilizada pelas VPNs, semelhante à diferença entre HTTPS e HTTP.
ICMP: O Protocolo de Mensagens de Controle da Internet (ICMP) lida com relatórios de erros e de testes. Como um protocolo sem conexão, o ICMP não usa protocolos de transporte como o TCP ou o UDP. Pelo contrário, os pacotes do ICMP são enviados somente por IP. Desenvolvedores e engenheiros de rede usam o ICMP para suas funções de ping e de traceroute. Normalmente, apenas um pacote ICMP precisa ser enviado por vez.
Outros protocolos de camada 3 incluem:
Ataques usando qualquer um desses protocolos são possíveis teoricamente. O ICMP é comumente usado para inundar um servidor com muitos pings para serem respondidos, ou com um grande pacote de ping que trava o dispositivo receptor (isto é conhecido como o " ping da morte" ). Os invasores podem usar o IPsec para inundar o alvo com dados indesejados ou com certificados de segurança extremamente grandes.
No entanto, nem todos esses protocolos são práticos para ataques DDoS e alguns tipos de ataques são impossibilitados pelas atualizações de hardware. Por exemplo, o ARP opera apenas em uma rede local, portanto, um invasor precisa primeiro se conectar à rede local antes de realizar o ataque DDoS. E os ataques de ping da morte do ICMP não são possíveis com os hardwares modernos, pois eles ignoram pacotes de IP muito grandes.
Como acontece com outros tipos de ataques DDoS, o invasor envia um grande volume de tráfego de rede indesejado por meio desses protocolos. Há vários métodos para fazer isso, dependendo do protocolo. O tráfego indesejado atrapalha as solicitações legítimas dos usuários, retardando as respostas ou bloqueando-as completamente. Às vezes, os dados indesejados são tantos que sobrecarregam os recursos do alvo, que trava.
Embora outros ataques sejam possíveis, incluindo ataques sobre IP apenas, os ataques baseados em ICMP são os mais comuns. Os bem conhecidos ataques ICMP incluem:
Além de bloquear os ataques DDoS nas camadas 4 e 7, o Cloudflare mitiga os ataques DDoS de camada 3. O Cloudflare Magic Transit foi desenvolvido especificamente para impedir ataques à infraestrutura interna de rede, incluindo ataques DDoS a qualquer camada. O WAF e o CDN da Cloudflare também interrompem os ataques DDoS de camada 3 aceitando apenas o tráfego para as portas HTTP e HTTPS, que são apenas da camada 7.
O modelo TCP/IP é um modelo alternativo de como funciona a rede. Em vez de sete camadas, o modelo TCP/IP possui quatro:
4. Camada de aplicação (corresponde às camadas 5-7 do modelo OSI)
3. Camada de transporte (corresponde à camada 4 do modelo OSI)
2. Camada da internet (corresponde à camada 3 do modelo OSI)
1. Camada de acesso à rede/links (corresponde às camadas 1-2 do modelo OSI)
Tomando como base o modelo TCP/IP em vez do modelo OSI, os ataques DDoS de camada 3 seriam chamados de ataques DDoS de camada 2.