O que é ataque de DDoS?

Atualmente, os ataques de DDoS são um grande problema da segurança na Internet. Explore mais detalhes sobre o funcionamento dos ataques de DDoS e como eles podem ser interrompidos.

Share facebook icon linkedin icon twitter icon email icon

DDoS

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Definir ataque de DDoS
  • Explicar a estrutura geral do ataque de DDoS
  • Diferenciar entre as três categorias principais de ataques de DDoS
  • Entender as diversas estratégias de mitigação de DDoS

O que é ataque de DDoS?

O ataque distribuído de negação de serviço (DDoS) é uma tentativa mal-intencionada de interromper o tráfego normal de um servidor, serviço ou rede, por meio da sobrecarga do alvo ou de sua infraestrutura, com uma inundação de tráfego de Internet. Os ataques de DDoS são bem-sucedidos graças ao uso de vários sistemas de computadores comprometidos como fontes de tráfego do ataque. As máquinas usadas indevidamente ser computadores e outros recursos de rede, como dispositivos de IoT. Em termos mais práticos, um ataque de DDoS é como um engarrafamento que bloqueia uma estrada, impedindo o tráfego normal de chegar ao destino desejado.

DDoS Attack

Como funciona o ataque de DDoS?

Um ataque de DDoS exige que um invasor obtenha o controle de uma rede de máquinas online para realizar um ataque. Computadores e outras máquinas (como dispositivos IoT) são infectados com malware, transformando cada um deles em um bot (ou zumbi). O invasor então tem controle remoto sobre o grupo de bots, chamado botnet.

Com uma botnet estabelecida, o invasor pode direcionar as máquinas enviando instruções atualizadas para cada bot por meio de um método de controle remoto. Quando o endereço IP de uma vítima é atacado pela botnet, cada bot responde enviando solicitações ao alvo, o que pode fazer com que o servidor ou a rede atacada exceda a capacidade provocando, assim, uma negação de serviçoao tráfego normal. Como cada bot é um dispositivo legítimo da Internet, fica difícil separar o tráfego de ataque do tráfego normal.

Quais são os tipos comuns de ataques de DDoS?

Diferentes vetores de ataque de DDoS atacam diferentes componentes de uma conexão de rede. Para entender o funcionamento das variações de ataques de DDoS, é preciso saber como as conexões de rede acontecem. Uma conexão de rede da Internet é composta por vários componentes ou “camadas”. Assim como na construção de uma casa do zero, cada passo do modelo tem uma finalidade própria. O modelo OSI, mostrado abaixo, é uma estrutura conceitual usada para descrever a conectividade da rede em 7 camadas distintas.

The OSI Model

Embora quase todos os ataques de DDoS envolvam a sobrecarga de um dispositivo ou uma rede de destino com tráfego, os ataques podem ser divididos em três categorias. O invasor pode fazer uso de um ou vários vetores de ataque diferentes, ou vetores de ataque em ciclos possivelmente baseados em contramedidas executadas pelo alvo.

Ataques à camada de aplicação

O objetivo do ataque:

Também conhecido como ataque de DDoS à camada 7 (em referência à sétima camada do modelo OSI), o objetivo desses ataques é esgotar os recursos do alvo. Os ataques são direcionados à camada onde páginas da Web são geradas no servidor e entregues como resposta a solicitações HTTP. É barato executar uma única solicitação HTTP no lado do cliente, mas a resposta do servidor alvo pode ser cara, já que o servidor, muitas vezes, precisa carregar vários arquivos e fazer diversas consultas a banco de dados para gerar uma página da Web. Os ataques à camada 7 são difíceis de defender, pois fica difícil identificar o tráfego como mal-intencionado.

Exemplo de ataque à camada de aplicação:

Inundação de HTTP

Esse ataque é semelhante a pressionar o botão de atualização de um navegador repetidamente em muitos computadores diferentes ao mesmo tempo: um grande número de solicitações HTTP inundam o servidor, resultando na negação de serviço.

Este tipo de ataque varia do simples ao mais complexo. Implementações mais simples podem acessar um URL com o mesmo intervalo dos endereços IP de ataque, referências e agentes de usuário. As versões complexas podem usar um grande número de endereços IP de ataque e direcionar para URLs aleatórios alvo, usando referências aleatórias e agentes de usuário.

Ataques de protocolo

O objetivo do ataque:

Os ataques de protocolo, também conhecidos como ataques de exaustão de estado, provocam a interrupção do serviço, consumindo toda a capacidade disponível da tabela de estados dos servidores de aplicações Web ou dos recursos intermediários, como firewalls e balanceadores de carga. Os ataques de protocolo utilizam pontos fracos da camada 3 e da camada 4 da pilha de protocolos para tornar o alvo inacessível.

Exemplo de ataque de protocolo:

Syn Flood DDoS Attack

Inundação SNY

Uma Inundação SYN é semelhante a um funcionário no almoxarifado que recebe pedidos da frente da loja. O funcionário recebe um pedido, pega o pacote e aguarda a confirmação antes de levar o pacote à frente da loja. Ele vai recebendo muitos outros pedidos de pacotes sem confirmação até que não consegue carregar mais nenhum, ficando sobrecarregado. Sendo assim, os pedidos começam a ficar sem atendimento.

Este ataque explora a negociação TCP enviando a um alvo um grande número de pacotes SYN de “pedidos iniciais de conexão” TCP com endereços IP de origem falsificados. A máquina de destino responde a todas as solicitações de conexão e, em seguida, aguarda o passo final da negociação, o que nunca ocorre, esgotando os recursos do alvo no processo.

Ataques volumétricos

O objetivo do ataque:

Essa categoria de ataques tenta criar congestionamento por meio do consumo de toda a largura de banda disponível entre o alvo e a Internet maior. Grandes volumes de dados são enviados para um alvo, utilizando uma forma de amplificação ou um outro meio de criação de tráfego em massa, como solicitações de um botnet.

Exemplo de amplificação:

NTP Amplification Attack

Amplificação de DNS

Em uma amplificação de DNS é como se alguém ligasse para um restaurante e dissesse “eu quero um pouco de tudo. Por favor, me ligue de volta e me diga todo o meu pedido”, e o número de telefone de chamada de retorno fornecido fosse o número do alvo. Uma resposta longa é gerada com muito pouco esforço.

Fazendo uma solicitação para um servidor DNS aberto com um endereço IP falsificado (o endereço IP real do alvo), o endereço IP visado, então, recebe resposta do servidor. O invasor estrutura a solicitação de modo que o servidor de DNS responda ao alvo com grande quantidade de dados. Como resultado, o alvo recebe amplificação da consulta inicial do invasor.

Qual é o processo para mitigar um ataque de DDoS?

A principal preocupação na mitigação de um ataque de DDoS é a distinção entre o tráfego do ataque e o tráfego normal. Por exemplo, se o lançamento de um produto fizer com que o site da empresa seja inundado por clientes ansiosos, cortar todo esse tráfego será um erro. Se essa empresa tiver um aumento repentino no tráfego originado de conhecidos malfeitores, provavelmente serão necessários esforços para aliviar o ataque. A dificuldade está em distinguir o usuário real e o tráfego do ataque.

Na Internet moderna, o tráfego de DDoS pode se apresentar de diversas formas, desde ataques de origem única e não falsificada até ataques de DDoS multivetor que utilizam diversas vias de ataque para sobrecarregar o alvo de diversas formas, possivelmente desviando os esforços de mitigação para outra trajetória. Um ataque direcionado a diversas camadas da pilha de protocolos simultaneamente, como uma amplificação de DNS (direcionado às camadas 3 e 4) combinado com uma inundação de HTTP (direcionada à camada 7) é um exemplo de DDoS multivetor.

A mitigação de um ataque de DDoS multivetor exige uma variedade de estratégias para combater diversas trajetórias. De um modo geral, quanto mais complexo o ataque, mais provável ser difícil separar o tráfego do ataque do tráfego normal. O objetivo do invasor é se misturar, tanto quanto praticável, tornando a mitigação o mais ineficiente possível. Tentativas de mitigação que envolvem a redução ou a limitação do tráfego de forma indiscriminada podem eliminar tráfego legítimo junto do ilegítimo, e o ataque também pode se modificar e adaptar para contornar as contramedidas. Para superar uma tentativa complexa durante a interrupção, uma solução em camadas proporcionará o melhor benefício.

Roteamento blackhole

Uma solução disponível para praticamente todos os administradores de rede é criar uma rota de buraco negro e concentrar o tráfego nela. Na sua forma mais simples, quando a filtragem do buraco negro é implementada sem critérios de restrição específicos, tanto o tráfego de rede legítimo como o mal-intencionado são roteados para uma rota nula, ou de buraco negro, e são retirados da rede. Se um ativo da Internet enfrentar um ataque de DDoS, o ISP (provedor de serviços de Internet) da propriedade poderá enviar todo o tráfego do site para um buraco negro como uma forma de defesa.

Limitação de taxa

A limitação do número de solicitações que um servidor aceitará por um período de tempo é outra forma de mitigar os ataques de negação de serviço. Embora o Rate Limiting seja útil para reduzir a velocidade com que os scrapers da Web roubam conteúdo e para mitigar as tentativas de login por força bruta, por si só provavelmente será insuficiente para lidar de forma eficaz com um ataque de DDoS complexo. No entanto, o Rate Limiting é componente útil de uma estratégia eficaz de mitigação de DDoS. Saiba mais sobre o Rate Limiting da Cloudflare

Web Application Firewall

O Web application firewall (WAF) é uma ferramenta capaz de ajudar a mitigar ataques de DDoS de camada 7. Ao colocar um WAF entre a Internet e um servidor de origem, o WAF pode atuar como um proxy reverso, protegendo o servidor visado de determinados tipos de tráfego mal-intencionado. Pode-se impedir ataques de camada 7 filtrando as solicitações sob uma série de regras usadas para identificar ferramentas de DDoS. Um dos principais valores de um WAF eficaz é a capacidade de implementar rapidamente regras personalizadas em resposta a um ataque. Saiba mais sobre o WAF da Cloudflare

Difusão de rede anycast

Essa abordagem de mitigação utiliza uma rede Anycast para dispersar o tráfego do ataque através de uma rede de servidores distribuídos até o ponto onde o tráfego é absorvido pela rede. É como canalizar um rio e dividi-lo em canais menores. Essa abordagem espalha o impacto do tráfego do ataque distribuído até que ele se torne gerenciável, diluindo qualquer possibilidade de interrupção.

A confiabilidade de uma rede Anycast para mitigar um ataque de DDoS depende do tamanho do ataque e do tamanho e da eficiência da rede. Uma parte importante da mitigação de DDoS implementada pela Cloudflare é o uso de uma rede Anycast distribuída. A Cloudflare tem uma rede 30 Tbps, que tem uma ordem de grandeza superior à do maior ataque de DDoS já registrado.

Se você estiver sob ataque no momento, poderá adotar algumas medidas para parar de sofrer pressão. Caso já esteja na Cloudflare, siga estas etapas para mitigar o ataque. A proteção contra DDoS que implementamos na Cloudflare é multifacetada para mitigar os muitos vetores de ataque possíveis. Saiba mais sobre a proteção contra DDoS da Cloudflare e como ela funciona.