O que é botnet de DDoS?

Ataques de botnet são responsáveis pelos maiores ataques de DDoS registrados. Saiba como dispositivos ficam infectados com malware botnet, como bots são controlados remotamente e como proteger a rede contra uma infestação de botnet.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir ataque de DDoS
  • Explicar por que botnets são criados
  • Entender como botnets são controlados remotamente por invasores
  • Discutir estratégias para desabilitar um botnet e evitar a infecção

Copiar o link do artigo

O que é uma botnet?

Um botnet se refere a um grupo de computadores infectado por malware e sob controle de um indivíduo mal-intencionado. O termo botnet é a combinação das palavras “robot” e “network” (robô e rede em inglês, respectivamente), e cada dispositivo infectado se chama bot. Os botnets podem ser desenvolvidos para realizar tarefas ilegais ou mal-intencionadas, inclusive envio de spam, furto de dados, ransomware, anúncios com cliques fraudulentos ou ataques de negação de serviço distribuída (DDoS).


Embora alguns tipos de malware, como o ransomware, causem impacto direto no proprietário do dispositivo, o malware botnet de DDoS pode ter diversos níveis de visibilidade. Alguns são desenvolvidos para assumir o controle total de um dispositivo; outros são executados silenciosamente em segundo plano e esperam por instruções do invasor, ou “bot herder”.


Alguns botnets de autopropagação recrutam bots adicionais por uma variedade de canais diferentes. Os caminhos de infecção incluem a exploração de vulnerabilidades do site, malware de cavalo de Troia e quebra de autenticação fraca para adquirir acesso remoto. Depois que o acesso é obtido, todos esses métodos para infecção resultam na instalação de malware no dispositivo-alvo, permitindo o controle remoto pelo operador do botnet. Um dispositivo infectado poderá tentar autopropagar o malware de botnet, recrutando outros dispositivos de hardware na rede circundante.


Embora seja inviável identificar com precisão o número exato de bots em um botnet específico, a estimativa do número total de bots em um botnet sofisticado varia de alguns milhares a mais de um milhão.

Animação do ataque de botnet de DDoS

Por que os botnets são criados?

Os motivos para usar um botnet vão desde ativismo até interrupção com patrocínio estatal. Muitos ataques são realizados simplesmente por lucro. A contratação de serviços de botnet online é relativamente barata, especialmente em relação à quantidade de danos que eles podem causar. A barreira para a criação de um botnet também é baixa o suficiente para torná-lo um negócio lucrativo para alguns desenvolvedores de software, especialmente em locais geográficos onde a aplicação de regulamentos e leis é limitada. Essa combinação causou a proliferação de serviços online que oferecem ataques à venda.

Como o botnet é controlado?

Uma das principais características de um botnet é a capacidade de receber instruções atualizadas do bot herder. A capacidade de se comunicar com cada bot na rede permite que o invasor alterne vetores de ataque, mude o endereço IP visado, encerre um ataque e outras ações personalizadas. Os designs de botnets variam. No entanto, as estruturas de controle podem ser divididas em duas categorias gerais:

O modelo de botnet cliente/servidor

O modelo cliente/servidor imita o fluxo de trabalho de uma estação de trabalho remota tradicional, no qual uma máquina individual se conecta a um servidor centralizado (ou a um pequeno número de servidores centralizados) para acessar informações. Nesse modelo, cada bot se conectará a um recurso de um centro de comando e controle (CnC), como um domínio da Web ou canal IRC, para receber instruções. Ao usar esses repositórios centralizados para enviar novos comandos ao botnet, o invasor precisa apenas modificar o material de origem que cada botnet consome de um centro de comando para atualizar instruções nas máquinas infectadas. O servidor centralizado no controle do botnet pode ser um dispositivo que pertença ou seja operado pelo invasor, ou pode ser um dispositivo infectado.


Diversas topologias de botnet centralizadas populares foram observadas, entre elas:

Topologia de rede em estrela

Animação da topologia de rede em estrela

Topologia de rede com vários servidores

Animação da topologia de rede com vários servidores

Topologia de rede hierárquica

Animação da topologia de rede hierárquica

Em qualquer modelo cliente/servidor, cada bot se conectará a um recurso de central de comando, como um domínio Web ou um canal IRC, para receber instruções. Usando esses repositórios centralizados para fornecer novos comandos para o botnet, o invasor precisa apenas modificar o material de origem que cada botnet consome de uma central de comando para atualizar as instruções para as máquinas infectadas.


Além da simplicidade de atualizar instruções para o botnet usando um número limitado de origens centralizadas, há a vulnerabilidade dessas máquinas. Para remover um botnet com servidor centralizado, apenas o servidor precisa ser interrompido. Em decorrência dessa vulnerabilidade, os criadores de malware de botnet evoluíram e migraram para um novo modelo que é menos suscetível a interrupções por apenas um ou poucos pontos de falha.

O modelo de botnet peer to peer (P2P)

Para contornar as vulnerabilidades do modelo cliente/servidor, os botnets mais recentes foram desenvolvidos usando componentes de compartilhamento de arquivos ponto a ponto centralizado. A incorporação da estrutura de controle dentro do botnet elimina o ponto de falha único presente em um botnet com servidor centralizado, tornando mais difíceis os esforços de mitigação. Os bots P2P podem ser clientes e centrais de comando, trabalhando lado a lado com os nós vizinhos para propagar dados.


Os botnets de ponto a ponto mantêm uma lista de computadores de confiança com os quais podem dar e receber comunicações, assim como atualizar o malware. Limitando o número de outras máquinas às quais o bot se conecta, cada bot é exposto apenas aos dispositivos adjacentes, dificultando o rastreamento e a mitigação. A falta de um servidor de comando centralizado torna um botnet de ponto a ponto mais vulnerável ao controle de alguém que não seja seu criador. A fim de proteger da perda de controle, os botnets descentralizados geralmente são criptografados, para que o acesso seja limitado.

Animação da topologia de rede peer to peer

Como dispositivos de IoT se tornam botnets?

Ninguém faz transações bancárias pela internet usando a câmera sem fio do CFTV que colocou no quintal para observar o alimentador de pássaros. No entanto, isso não significa que o dispositivo é incapaz de fazer as solicitações de rede necessárias. A eficiência dos dispositivos de IoT, somada a uma segurança fraca ou mal configurada, cria uma abertura para o malware de botnet recrutar novos bots para o coletivo. O aumento nos dispositivos de IoT resultou em um novo cenário para ataques de DDoS, pois muitos dispositivos são mal configurados e vulneráveis.


Se a vulnerabilidade de um dispositivo de IoT estiver codificada no firmware, as atualizações ficarão mais difíceis. Para mitigar o risco, os dispositivos de IoT com firmware desatualizado deverão ser atualizados, pois as credenciais padrão geralmente permanecem inalteradas desde a instalação inicial do dispositivo. Muitos fabricantes de hardware barato não são incentivados a aumentar a segurança de seus dispositivos. Por isso, a vulnerabilidade dos dispositivos de IoT ao malware de botnet continua sendo um risco não resolvido para a segurança.

Como um botnet existente é desabilitado?

Para desabilitar os centros de controle de um botnet:

Os botnets desenvolvidos usando um esquema de comando e controle poderão ser desativados com mais facilidade depois que as centrais de controle forem identificadas. Se a cabeça for cortada nos pontos de falha, o botnet inteiro poderá ficar offline. Portanto, os administradores de sistemas e agentes da lei se esforçam para fechar as centrais de controle dos botnets. Esse processo será mais difícil se a central de comando atuar em um país onde a aplicação da lei é menos capaz ou está menos disposta a intervir.

Para eliminar a infecção em cada dispositivo individualmente:

No caso de computadores específicos, as estratégias de recuperarão do controle da máquina são: executar software antivírus, reinstalar o software de um backup de segurança ou recomeçar em uma máquina limpa depois de reformatar o sistema. No caso de dispositivos de IoT, as estratégias podem ser: alterar o firmware, executar uma redefinição de fábrica ou formatar o dispositivo. Caso essas opções sejam inviáveis, talvez o fabricante do dispositivo ou um administrador de sistema possa ter outras estratégias.

Como proteger os dispositivos para que não se tornem parte de um bonet?

Criar senhas seguras:

Para muitos dispositivos vulneráveis, uma maneira simples de reduzir a exposição do botnet a vulnerabilidades pode ser a troca de credenciais administrativas para valores diferentes do nome de usuário e senha padrão. A criação de uma senha segura dificulta a decodificação de força bruta. A criação de uma senha muito segura torna praticamente impossível a decodificação de força bruta. Por exemplo, um dispositivo infectado com malware Mirai examinará endereços IP em busca de dispositivos que respondam. Quando um dispositivo responde a uma solicitação de ping, o bot tenta fazer login no dispositivo localizado com uma lista predefinida de credenciais padrão. Se a senha padrão tiver sido alterada e uma senha segura tiver sido adotada, o bot desistirá e procurará dispositivos mais vulneráveis.

Permitir apenas a execução confiável de código de terceiros:

Se o modelo de execução de software de telefone celular for adotado, apenas as aplicações na lista de desbloqueio poderão ser executadas, aumentando o controle para eliminar softwares considerados mal-intencionados, incluindo botnets. Somente uma exploração do software supervisor (ou seja, kernel) poderá resultar na exploração do dispositivo. Isso exige, primeiramente, um kernel seguro, o que a maioria dos dispositivos de IoT não tem, e é mais aplicável a máquinas que executam softwares de terceiros.

Limpeza/restauração periódica do sistema:

Ao restaurar para um bom estado conhecido depois de um tempo definido, todo o lixo coletado pelo sistema será removido, incluindo o software de botnet . Quando usada como medida preventiva, essa estratégia garante a eliminação até mesmo de malware de execução silenciosa.

Implantar práticas de filtragem de entradas e saídas seguras:

Outras estratégias mais avançadas incluem práticas de filtragem nos roteadores e firewalls da rede. Um princípio do design seguro de rede são as camadas: você tem a mínima restrição em torno dos recursos acessíveis ao público, enquanto intensifica continuamente a segurança para os itens que considera sensíveis. Além disso, tudo o que ultrapassa as barreiras precisa ser examinado: tráfego de rede, pen drives etc. Práticas de filtragem de qualidade aumentam a probabilidade de que malware de DDoS e seus métodos de propagação e comunicação sejam detectados antes de entrar na rede ou de sair dela.


Se você estiver sob ataque, poderá tomar certas medidas para aliviar o impacto. Se você já for assinante da Cloudflare, siga estas etapas para mitigar o ataque. A proteção contra DDoS que a Cloudflare implanta é multifacetada para mitigar os muitos vetores de ataque possíveis. Saiba mais sobre a proteção contra DDoS da Cloudflare.