Ataques distribuídos de negação de serviço (DDoS): uma folha de dicas

Os ataques de negação de serviço (DoS) são a arma cibernética de escolha para atores de ameaças patrocinados pelo estado e script kiddies despreocupados. Independentemente de quem os usa, os ataques de negação de serviço podem ser particularmente perturbadores e prejudiciais para as organizações visadas por cibercriminosos. Desde 2018, a frequência e o poder dos ataques DDoS vêm aumentando, tornando-os um risco mais potente para as organizações.

A folha de dicas do TechRepublic sobre ataques de negação de serviço é um guia abrangente para este tópico. Este artigo será atualizado periodicamente à medida que as estratégias de ataque e mitigação evoluem. Também está disponível para , Cheat sheet: Ataques distribuídos de negação de serviço (DDoS) (PDF gratuito).

VEJO: Uma estratégia vencedora para a segurança cibernética (relatório especial ZDNet) | Baixe o relatório em PDF (TechRepublic)

O que é um ataque de negação de serviço?

UMA negação de serviço (DoS) ataque é uma estratégia de ataque na qual um agente mal-intencionado tenta impedir que outras pessoas em um servidor Web, aplicativo Web ou serviço em nuvem inundando-o com solicitações de serviço. Enquanto um ataque DoS é essencialmente de origem única, um negação de serviço distribuído (DDoS) o ataque usa um grande número de máquinas em redes diferentes para interromper um determinado provedor de serviços; isso é mais desafiador para mitigar, pois o ataque está sendo realizado de várias fontes.

Após um poderoso ataque DDoS contra o popular aplicativo de mensagens seguras Telegram, a empresa descreveu de forma colorida os ataques DDoS como um caso em que “seus servidores recebem GADZILLIONS [sic] de solicitações de lixo que os impedem de processar solicitações legítimas. Imagine que um exército de lemingues acabou de pular a fila do McDonald’s na sua frente – e cada um está pedindo um Whopper. O garçom está ocupado dizendo aos enormes lemingues que eles vieram ao lugar errado, mas são tantos que o garçom não consegue nem vê-lo para tentar anotar seu pedido.

Normalmente, os ataques DDoS visam a infraestrutura de rede, com o objetivo de derrubar toda a pilha de rede. Em contraste, ataques de camada de aplicação segmentar funcionalidades específicas de um determinado site, com o objetivo de desabilitar um recurso específico, estendendo demais o processo com um número excessivo de solicitações.

Outros tipos de ataques DDoS incluem ataques de smurfque usam um grande número de pacotes ICMP (Internet Control Message Protocol) com o endereço IP da vítima falsificado para aparecer como a origem.

Geralmente, os ataques DDoS podem ser categorizados como ataques de inundação, que visam sobrecarregar os sistemas, ou ataques de falha, que tentam derrubar um aplicativo ou sistema.

Recursos adicionais

Quão simples de executar e prejudiciais são os ataques DDoS?

Executar um ataque DDoS não é algo que requer habilidade específica. “Um ataque DDoS não é um ataque sofisticado”, disse Matthew Prince, CEO e cofundador da Cloudflare, ao TechRepublic em 2015, após um ataque ao Protonmail. “É o equivalente funcional de um homem das cavernas com um porrete. Mas um homem das cavernas com um porrete pode causar muitos danos.”

Embora seja relativamente seguro supor que os ataques DDoS de maior potência são o trabalho de profissionais, esses são ataques que até mesmo um script kiddie comum pode lançar com sucesso substancial. A indústria de ataques DDoS também deu origem a “denial-of-service as a service”, também conhecido como serviços “booter” ou “stresser”, permitindo que os usuários realizem um ataque DDoS em qualquer alvo arbitrário em troca de pagamento.

VEJA: Guerra cibernética e o futuro da segurança cibernética (relatório especial ZDNet/TechRepublic) | Baixe a versão gratuita em PDF (TechRepublic)

Devido à facilidade com que os ataques DDoS podem ser lançados, eles podem ser usados ​​por qualquer pessoa – de hackers patrocinados pelo estado altamente financiados a adolescentes com rancor contra alguém.

Para as empresas, os danos potenciais decorrentes de uma interrupção são amplos. Seja através de vendas perdidas, um impacto na reputação devido ao tempo de inatividade ou custos relacionados a quantidades excessivas de tráfego de rede, os problemas potenciais que emanam de ataques DDoS são substanciais demais para serem ignorados. Esses riscos levam à necessidade de medidas de mitigação proativas antes que um ataque seja lançado.

Recursos adicionais

Quais são os maiores ataques DDoS observados?

Principalmente, os ataques de negação de serviço afetam o host conectado à Internet visado pelo invasor. Na prática, isso afeta a empresa alvo dos invasores, bem como os usuários do serviço que a empresa fornece. Qualquer organização pode ser alvo de um ataque de negação de serviço – devido à sua eficácia e relativa facilidade com que podem ser utilizados, eles geralmente são implantados contra organizações menores com grande efeito.

VEJO: Todas as folhas de dicas da TechRepublic e guias de pessoas inteligentes

Em fevereiro de 2018, foram observados vários ataques DDoS de configuração de recordes utilizando uma vulnerabilidade no protocolo memcached, aproveitando falhas no protocolo de datagrama do usuário (UDP). Os relatórios iniciais do provedor de CDN Cloudflare observaram 260 Gbps de tráfego de entrada gerado em ataques DDoS com memcached. Um dia depois, ataques com memcached atingiram o GitHub em velocidades máximas de 1,35 Tbps. Em março de 2018, a Arbor Networks da NETSCOUT confirmou um ataque DDoS de 1,7 Tbps contra um de seus clientes.

Esses ataques DDoS recordes de 2018 empalidecem em comparação com o mais recente ataque DDoS em massa que atingiu a AWS da Amazon em fevereiro de 2020, que atingiu impressionantes 2,3 Tbps. A Amazon conseguiu mitigar o ataque usando seu software de proteção contra DDoS Amazon Shield.

Esses ataques são iniciados por um servidor que falsifica seu endereço IP — especificando o endereço como o endereço — e enviando um pacote de solicitação de 15 bytes. Esse pacote de solicitação é respondido por um servidor memcached vulnerável com respostas que variam de 134 KB a 750 KB. A disparidade de tamanho entre a solicitação e a resposta — até 51.200 vezes maior — é o que torna os ataques de amplificação tão eficazes. Quando a vulnerabilidade do memcached foi descoberta, 88.000 servidores desprotegidos dos quais os ataques poderiam ser lançados foram encontrados conectados à Internet.

VEJO: Os hackers russos podem ser parados? Eis por que pode levar 20 anos (PDF da matéria de capa)

É importante ressaltar que o ataque de 260 Gbps na Cloudflare foi observado em um máximo de 23 milhões de pacotes por segundo; devido às propriedades de amplificação, foi necessário um número relativamente baixo de pacotes para realizar o ataque, mas com uma largura de banda relativamente alta. Em 2019, a Imperva observou um ataque DDoS que ultraou 500 milhões de pacotes por segundo – quatro vezes mais do que o ataque do GitHub – sobrecarregando consideravelmente os sistemas de mitigação, pois eles normalmente inspecionam os cabeçalhos de cada pacote, embora normalmente não a carga total.

Muitos ataques DDoS utilizam botnets de dispositivos comprometidos, principalmente dispositivos da Internet das Coisas (IoT). O botnet Mirai foi usado para afetar roteadores e dispositivos IoT e foi usado para atacar o provedor de DNS gerenciado Dyn, causando interrupções que afetam quase um quarto da Internet. Da mesma forma, Mirai foi usado em um ataque que derrubou os serviços de internet para toda a Libéria.

Os ataques DDoS estão ressurgindo, pois os ataques aumentaram 94% no primeiro trimestre de 2019, de acordo com um relatório da Kaspersky Lab. Da mesma forma, ataques acima de 100 Gbps em 967% no primeiro trimestre de 2019 em comparação com o primeiro trimestre de 2018, de acordo com um relatório da Neustar.

Em um relatório divulgado em janeiro de 2021, a Akamai informou que 2020 foi o maior ano já registrado para ataques DDoS, com recordes estabelecidos durante o ano que superaram os recordes registrados em 2016. Os serviços comerciais tiveram um aumento de 960% nos ataques DDoS em 2020 e outros setores também foram duramente atingidos: os ataques DDoS contra varejo e bens de consumo aumentaram 445%, os serviços financeiros tiveram um aumento de 190% e os serviços de software e tecnologia foram atacados 196% a mais em 2020, entre outros.

A Akamai disse que 2020 teve um grande aumento em parte porque as restrições do COVID-19 aumentaram a dependência de ferramentas digitais e previu que 2021 e além verão uma tendência crescente contínua no número e gravidade dos ataques DDoS.

Também em 2020, surgiu uma tendência de ameaçar as empresas com ataques DDoS se um resgate não for pago, com demandantes de resgate alegando ser de grupos de hackers conhecidos como Fancy Bear, Lazarus Group e Armada Collective. Os resgates começaram em 20 Bitcoins e aumentaram em 10 BTC todos os dias em que o resgate não foi pago. Todas as empresas visadas relataram estar sujeitas a um ataque DDoS, indicando que os invasores são sérios. Os ataques ameaçavam ultraar 2 Tbps, mas os ataques reais relatados estavam apenas na faixa de 300 Gbps, o que ainda pode ser devastador.

Recursos adicionais

Como posso me proteger contra um ataque DDoS?

Existem maneiras de mitigar os efeitos dos ataques DDoS, permitindo que os sistemas direcionados continuem operando normalmente para os usuários, de forma transparente, como se nenhum ataque estivesse ocorrendo.

A primeira etapa é separar os usuários genuínos do tráfego gerado programaticamente usado em ataques DDoS. Isso pode ser feito usando filtragem de endereço IP, verificação de estados de cookies/sessões e impressão digital do navegador, entre outros métodos.

As estratégias de filtragem de tráfego incluem rastreamento de conexão, limitação de taxa, lista negra ou tráfego de lista branca. A mitigação manual de DDoS pode ser derrotada por invasores avançados implantando ataques em estágios e remontando o ataque de um conjunto diferente de dispositivos quando as conexões são recusadas dos sistemas usados ​​no primeiro estágio do ataque.

A mitigação de DDoS baseada em nuvem está disponível por meio de provedores como AWS, Cloudflare, Imperva, Akamai, Radware, Coreo e Arbor Networks. Um dos métodos empregados por esses fornecedores inclui o rastreamento de endereços IP em sites protegidos por um determinado serviço para diferenciar usuários genuínos do tráfego gerado.

Recursos adicionais

Como posso evitar ser participante de um ataque distribuído de negação de serviço?

SMBs e redes domésticas podem não ser frequentemente alvo de ataques DDoS, mas há uma possibilidade distinta de que uma segurança de rede ruim possa levar roteadores, computadores e dispositivos IoT a serem involuntariamente transformados em nós de botnet usados ​​para lançar ataques DDoS em alvos de nível empresarial.

O malware VPNFilter, por exemplo, foi usado para infectar 500.000 roteadores globalmente, incluindo dispositivos fabricados pela ASUS, D-Link, Huawei, Linksys, MikroTik, Netgear, TP-Link, Ubiquiti, UPVEL e ZTE, bem como dispositivos de armazenamento (NAS) da QNAP. Os relatórios iniciais indicaram que a reinicialização do roteador foi suficiente para limpar a infecção, mas outras atualizações descobriram que isso não era suficiente, recomendando que os usuários refizessem o firmware também.

“Uma das fontes de ataques DDoS que mais crescem atualmente são os dispositivos IoT comprometidos recrutados em botnets massivos. As organizações que usam esses dispositivos precisam adotar as melhores práticas na atualização do software para as versões mais recentes e garantir uma boa higiene das senhas, pois muitos dispositivos são fornecidos com padrões comuns”, disse Sean Newman, diretor de gerenciamento de produtos da Coreo, ao TechRepublic. “O outro alvo comum é a infraestrutura de DNS usada para amplificar os ataques DDoS. Qualquer organização com seus próprios servidores DNS deve garantir que as melhores práticas de monitoramento e segurança estejam em vigor, para evitar que sejam abusadas para atacar outras pessoas.”

A folha de dicas de botnet da TechRepublic inclui um resumo do que procurar para ver se o seu dispositivo está infectado, bem como as etapas que você pode seguir para evitar que seu hardware seja invadido.

Recursos adicionais