O que é ataque de DDoS?

Os ataques de DDoS são a principal preocupação de segurança na Internet atualmente. Examine detalhes de como ataques de DDoS funcionam e de como podem ser interrompidos.

Share facebook icon linkedin icon twitter icon email icon

DDoS

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Definir ataque de DDoS
  • Explicar a estrutura geral do ataque de DDoS
  • Diferenciar entre as três categorias principais de ataques de DDoS
  • Entender as diversas estratégias de mitigação de DDoS

O que é ataque de DDoS?

O ataque distribuído de negação de serviço (DDoS) é uma tentativa mal-intencionada de interromper o tráfego normal de um servidor, serviço ou rede, por meio da sobrecarga do alvo ou da infraestrutura ao seu redor, com a inundação do tráfego de Internet. Os ataques de DDoS conseguem ser eficazes com o uso de vários sistemas de computadores comprometidos como origem do tráfego do ataque. As máquinas aproveitadas podem ser computadores e outros recursos em rede, como dispositivos de IoT. Em nível elevado, um ataque de DDoS é como um engarrafamento que bloqueia uma estrada e impede o tráfego normal de chegar ao destino desejado.

Ataque de DDoS

Como funciona o ataque de DDoS?

Para ser possível realizar o ataque de DDoS, é necessário que o invasor adquira o controle de uma rede de máquinas on-line. Computadores e outras máquinas (como dispositivos de IoT) são infectados com malware, e cada um deles se torna um bot (ou zumbi). Em seguida, o invasor terá o controle remoto do grupo de bots, e isso se chama botnet.

Depois de estabelecido o botnet, o invasor consegue controlar as máquinas com envio de instruções atualizadas a cada bot, para isso, usa um método de controle remoto. Quando o endereço IP de uma vítima é alvo do botnet, cada bot responderá com o envio de solicitações ao alvo e, possivelmente, ultrapassará a capacidade do servidor ou da rede alvo, resultando na negação de serviço para o tráfego normal. Como cada bot é um dispositivo de Internet legítimo, separar o tráfego do ataque do tráfego normal pode ser difícil.

Quais são os tipos comuns de ataques de DDoS?

Diferentes vetores de ataque de DDoS têm como alvo componentes diferentes de uma conexão de rede. Para entender como os ataques de DDoS funcionam diferente, é preciso saber como uma conexão de rede é estabelecida. Uma conexão de rede na Internet é composta de muitos componentes diferentes ou “camadas”. Como a construção de uma casa a partir do zero, cada etapa no modelo tem finalidade diferente. O modelo OSI, mostrado a seguir, é uma estrutura conceitual usada para descrever a conectividade da rede em sete camadas distintas.

O modelo OSI

Embora quase todos os ataques de DDoS envolvam a sobrecarga de um dispositivo ou uma rede alvo com o seu tráfego, os ataques podem ser divididos em três categorias. O invasor pode fazer uso de um ou de vários vetores de ataque diferentes, ou alternar vetores de ataque, possivelmente, de acordo com as contramedidas que o alvo realizar.

Ataques à camada de aplicação

O objetivo do ataque:

Também conhecido como ataque de DDoS à camada 7, em referência à sétima camada do modelo OSI, o objetivo desses ataques é esgotar os recursos do alvo. Os ataques são direcionados à camada onde páginas da Web são geradas no servidor e entregues como resposta a solicitações HTTP. É barato executar uma única solicitação HTTP no lado do cliente, mas pode ser cara a resposta do servidor alvo, já que o servidor, muitas vezes, precisa carregar vários arquivos e fazer diversas consultas a banco de dados para gerar uma página da Web. Os ataques à camada 7 são difíceis de defender, pois pode ser difícil identificar o tráfego como mal-intencionado.

Exemplo de ataque à camada de aplicação:

Inundação de HTTP

Esse ataque é semelhante a pressionar o botão de atualização de um navegador repetidamente em muitos computadores diferentes ao mesmo tempo; um grande número de solicitações HTTP inundam o servidor, resultando na negação de serviço.

Esse tipo de ataque varia do simples ao complexo. Aplicações mais simples podem acessar um único URL com o mesmo intervalo de endereços IP, referenciadores e agentes de usuário de ataque. As versões complexas podem usar um grande número de endereços IP de ataque e ter como alvo URLs aleatórios, usando referenciadores e agentes de usuário aleatórios.

Ataques de protocolo

O objetivo do ataque:

Os ataques de protocolo, também conhecidos como ataques de exaustão de estado, provocam a interrupção do serviço consumindo toda a capacidade disponível da tabela de estados dos servidores de aplicativos da Web ou de recursos intermediários, como firewalls e balanceadores de carga. Os ataques de protocolo usam vulnerabilidades da camada 3 e da camada 4 da pilha de protocolos para tornar o alvo inacessível.

Exemplo de ataque de protocolo:

Ataque de DDoS de inundação SYN

Inundação SNY

A inundação SNY é semelhante ao funcionário do almoxarifado que recebe solicitações da frente de loja. O funcionário recebe uma solicitação, vai e pega o pacote, em seguida, espera a confirmação antes de levar o pacote para a frente da loja. Então, o funcionário recebe muitas mais solicitações de pacotes sem confirmação até que não consiga carregar mais nenhum pacote, fique sobrecarregado, e as solicitações comecem a não ser respondidas.

Esse ataque aproveita a negociação TCP enviando ao alvo um grande número de pacotes SYN de “solicitação de conexão inicial“ TCP com endereços IP de origem falsificados. A máquina alvo responde a todas as solicitações de conexão e, em seguida, espera a etapa final da negociação (handshake), que nunca ocorre, e esgota os recursos do alvo no processo.

Ataques volumétricos

O objetivo do ataque:

Essa categoria de ataques tenta criar congestionamento por meio do consumo de toda a largura de banda disponível entre o alvo e a Internet. Grandes volumes de dados são enviados ao alvo, usando uma forma de amplificação ou outro meio de criar tráfego muito intenso, como solicitações de um botnet.

Exemplo de amplificação:

Ataque de amplificação de NTP

Amplificação de DNS

A amplificação de DNS é como se alguém ligasse para um restaurante e dissesse: “Eu quero um de cada item. Por favor, me ligue de volta e diga todo o meu pedido”, e o número de telefone de chamada de retorno fornecido fosse o número do alvo. Com pouco esforço, uma resposta longa é gerada.

Quando faz uma solicitação a um servidor de DNS aberto com endereço IP falsificado (o endereço IP real do alvo), esse endereço IP recebe uma resposta do servidor. O invasor estrutura a solicitação de modo que o servidor de DNS responda ao alvo com grande volume de dados. Como resultado, o alvo recebe uma amplificação da consulta inicial do invasor.

Qual é o processo para mitigar um ataque de DDoS?

A principal preocupação na mitigação de um ataque de DDoS é a distinção entre o tráfego do ataque e o tráfego normal. Por exemplo, se o lançamento de um produto fizer com que o site da empresa seja inundado por clientes ansiosos, cortar todo esse tráfego será um erro. Se, de repente, a empresa tiver um aumento no tráfego originado de conhecidos criminosos, provavelmente, serão necessários esforços para mitigar o ataque. A dificuldade está em distinguir o usuário real e o tráfego do ataque.

Na Internet moderna, o tráfego de DDoS surge de muitas formas. O tráfego pode variar no modelo de ataques de uma única origem não falsificada a ataques multivetor complexos e adaptáveis. O ataque de DDoS multivetor usa várias vias de ataque para sobrecarregar o alvo de diversas formas, potencialmente, desviando esforços de mitigação para qualquer outra trajetória. Um ataque direcionado a diversas camadas da pilha de protocolos simultaneamente, como uma amplificação de DNS (direcionado às camadas 3 e 4) combinado com uma inundação de HTTP (direcionado à camada 7) é um exemplo de DDoS multivetor.

Mitigar um ataque de DDoS multivetor exige diversas estratégias para combater trajetórias diferentes. De modo geral, quanto mais complexo o ataque, mais provavelmente será difícil separar o tráfego do ataque do tráfego normal. O objetivo do invasor é se misturar ao máximo para tornar a mitigação o mais ineficiente possível. Tentativas de mitigação que envolvem a redução ou a limitação do tráfego de forma indiscriminada podem eliminar o tráfego legítimo junto ao ilegítimo, além disso, o ataque pode se modificar e se adaptar para contornar as medidas defensivas. Para superar uma tentativa complexa durante a interrupção, uma solução em camadas proporcionará o melhor benefício.

Roteamento blackhole

Uma solução disponível para praticamente todos os administradores de rede é criar uma rota blackhole e concentrar o tráfego na mesma. Na sua forma mais simples, quando a filtragem de blackhole é implantada sem critérios de restrição específicos, tanto o tráfego de rede legítimo como o mal-intencionado são roteados para uma rota nula, blackhole, e são eliminados da rede. Se um ativo da Internet enfrentar um ataque de DDoS, o seu ISP (provedor de serviços de Internet) poderá enviar todo o tráfego do site para o blackhole como forma de defesa.

Limitação de taxa

Limitar o número de solicitações que um servidor aceitará por um período de tempo é outra forma de mitigar os ataques de negação de serviço. Embora a limitação de taxa seja útil para reduzir a velocidade com que os scrapers da Web roubam conteúdo e para mitigar as tentativas de login por força bruta, provavelmente, usá-lo apenas será insuficiente para lidar de forma eficaz com um ataque de DDoS complexo. No entanto, a limitação de taxa é um componente útil de uma estratégia eficaz de mitigação de DDoS. Saiba mais sobre a limitação de taxa da Cloudflare, o Rate Limiting

Web Application Firewall

O Web Application Firewall (WAF) é uma ferramenta capaz de ajudar a mitigar o ataque de DDoS à camada 7. O WAF posicionado entre a Internet e o servidor de origem pode atuar como proxy reverso e proteger o servidor alvo de determinados tipos de tráfego mal-intencionado. Como filtra solicitações de acordo com uma série de regras usadas para identificar ferramentas de DDoS, os ataques à camada 7 podem ser impedidos. Um importante valor da eficácia do WAF é a capacidade de adotar rapidamente regras personalizadas em resposta a um ataque. Conheça o WAF da Cloudflare.

Difusão de rede anycast

Essa abordagem de mitigação usa uma rede anycast para dispersar o tráfego do ataque por uma rede de servidores distribuídos até o ponto no qual o tráfego é absorvido pela rede. Como canalizar um rio e dividi-lo em canais menores, essa abordagem espalha o impacto do tráfego do ataque distribuído até que ele se torne gerenciável, dissipando qualquer possibilidade de interrupção.

A confiabilidade de uma rede anycast para mitigar um ataque de DDoS depende do tamanho do ataque e do tamanho e da eficiência da rede. Uma parte importante da mitigação de DDoS implantada pela Cloudflare é o uso de uma rede anycast distribuída. A Cloudflare tem uma rede de 25 TBPS, que significa uma ordem de grandeza superior ao maior ataque de DDoS já registrado.

Se, atualmente, estiver sob ataque, existirão medidas que podem ser tomadas para que você se livre da pressão. Se você já for assinante da Cloudflare, siga estas etapas para mitigar o ataque. A proteção contra DDoS que a Cloudflare implantará é multifacetada para mitigar os muitos vetores de ataque possíveis. Saiba mais sobre a proteção contra DDoS da Cloudflare.