Significado de ataque DDoS
Ataque DDoS significa "ataque de negação de serviço distribuído (DDoS)" e é um crime cibernético no qual o invasor inunda um servidor com tráfego de internet para impedir que os usuários acessem sites e serviços online conectados.
As motivações para realizar um DDoS variam amplamente, assim como os tipos de indivíduos e organizações ansiosos para perpetrar esse tipo de ataque cibernético. Alguns ataques são realizados por indivíduos insatisfeitos e hacktivistas que desejam derrubar os servidores de uma empresa simplesmente para dar um recado, se divertir explorando vulnerabilidades cibernéticas ou expressar desaprovação.
Outros ataques DDoS são financeiramente motivados, como um concorrente interrompendo ou interrompendo as operações on-line de outra empresa para roubar negócios enquanto isso. Outros envolvem extorsão, na qual os perpetradores atacam uma empresa e instalam ransomware ou ransomware em seus servidores e, em seguida, os forçam a pagar uma grande soma financeira para que o dano seja revertido.
Os ataques DDoS estão em ascensão, e até mesmo algumas das maiores empresas globais não estão imunes a "sofrerem o ataque DDoS". O maior ataque da história ocorreu em fevereiro de 2020 a ninguém além da Amazon Web Services (AWS), ultrapassando um ataque anterior ao GitHub dois anos antes. As ramificações de DDoS incluem uma queda no tráfego legítimo, perda de negócios e danos à reputação.
À medida que a Internet das Coisas (Internet of things, IoT) continua a se proliferar, assim como o número de funcionários remotos trabalhando em casa, aumentará também o número de dispositivos conectados a uma rede. A segurança de cada dispositivo IoT pode não acompanhar necessariamente, deixando a rede à qual está conectado vulnerável a ataques. Dessa forma, a importância da mitigação e proteção contra DDoS é crucial.
Como funcionam os ataques de DDoS
Um ataque DDoS tem como objetivo sobrecarregar os dispositivos, serviços e a rede de seu alvo pretendido com tráfego de internet falso, tornando-os inacessíveis ou inúteis para usuários legítimos.
DoS vs. DDoS
Um ataque de negação de serviço distribuído é uma subcategoria do ataque mais geral de negação de serviço (DoS). Em um ataque DoS, o invasor usa uma única conexão de internet para barrar um alvo com solicitações falsas ou para tentar explorar uma vulnerabilidade de segurança cibernética. O DDoS é maior em escala. Ele utiliza milhares (até milhões) de dispositivos conectados para atingir sua meta. O grande volume dos dispositivos usados torna a DDoS muito mais difícil de lutar.
Botnets
Os botnets são a principal maneira de realizar ataques distribuídos de negação de serviço. O invasor instalará em computadores ou outros dispositivos um código malicioso, ou malware, chamado bot. Juntos, os computadores infectados formam uma rede chamada botnet. O invasor então instrui o botnet a sobrecarregar os servidores e dispositivos da vítima com mais solicitações de conexão do que eles podem lidar.
O que é ataque DDoS: Sintomas de ataque e como identificar
Um dos maiores problemas com a identificação de um ataque DDoS é que os sintomas não são incomuns. Muitos dos sintomas são semelhantes ao que os usuários de tecnologia encontram todos os dias, incluindo velocidades lentas de desempenho de upload ou download, o site se tornando indisponível para visualização, uma conexão de internet perdida, mídia e conteúdo incomuns ou uma quantidade excessiva de spam.
Além disso, um ataque DDoS pode durar de algumas horas a alguns meses, e o grau de ataque pode variar.
Quais países são mais afetados pelos ataques de DDoS?
Tipos de ataques de DDoS
Ataques diferentes têm como alvo partes diferentes de uma rede e são classificados de acordo com as camadas de conexão de rede que eles têm como alvo. Uma conexão na internet é composta por sete “camadas” diferentes, conforme definido pelo modelo de interconexão de sistemas abertos (Open Systems Interconnection, OSI) criado pela Organização internacional de padronização. O modelo permite que diferentes sistemas de computador sejam capazes de "se comunicar" entre si.
Ataques volumétricos ou baseados em volume
Esse tipo de ataque visa controlar toda a largura de banda disponível entre a vítima e a internet maior. A amplificação do sistema de nome de domínio (DNS) é um exemplo de ataque baseado em volume. Nesse cenário, o invasor falsifica o endereço do alvo e envia uma solicitação de pesquisa de nome DNS para um servidor DNS aberto com o endereço falsificado.
Quando o servidor DNS envia a resposta de registro DNS, ela é enviada ao destino, resultando no destino recebendo uma amplificação da consulta inicialmente pequena do invasor.
Ataques de protocolo
Os ataques de protocolo consomem toda a capacidade disponível de servidores da Web ou outros recursos, como firewalls. Eles expõem pontos fracos nas camadas 3 e 4 da pilha de protocolos OSI para tornar o alvo inacessível.
Uma inundação SYN é um exemplo de um ataque de protocolo, no qual o invasor envia ao alvo um número esmagador de solicitações de handshake de protocolo de controle de transmissão (TCP) com endereços de protocolo de internet (IP) de origem falsificada. Os servidores alvo tentam responder a cada solicitação de conexão, mas o aperto de mão final nunca ocorre, sobrecarregando o alvo no processo.
Ataques de camada de aplicação
Esses ataques também visam esgotar ou sobrecarregar os recursos do alvo, mas são difíceis de sinalizar como maliciosos. Muitas vezes chamado de ataque DDoS de camada 7, com referência à camada 7 do modelo OSI, um ataque de camada de aplicativo tem como alvo a camada em que as páginas da web são geradas em resposta às solicitações do Protocolo de transferência do hipertexto (Hypertext Transfer Protocol, HTTP).
Um servidor executa consultas de banco de dados para gerar uma página da web. Nessa forma de ataque, o invasor força o servidor da vítima a lidar com mais do que normalmente lida. Uma inundação HTTP é um tipo de ataque na camada do aplicativo e é semelhante a atualizar constantemente um navegador da web em diferentes computadores de uma só vez. Dessa forma, o número excessivo de solicitações HTTP sobrecarrega o servidor, resultando em um DDoS.
INSCREVA-SE NO TREINAMENTO FORTIDDOS
Inscreva-se agoraPrevenção de ataque DDoS
Mesmo que você saiba o que é um ataque DDoS, é extremamente difícil evitá-lo porque a detecção é um desafio. Isso ocorre porque os sintomas do ataque podem não variar muito dos problemas típicos de serviço, como o carregamento lento de páginas da web, e o nível de sofisticação e complexidade das técnicas de DDoS continua a crescer.
Além disso, muitas empresas recebem um aumento no tráfego da internet, especialmente se a empresa lançou recentemente novos produtos ou serviços ou anunciou notícias que movimentam o mercado. Como tal, a prevenção nem sempre é possível, por isso é melhor para uma organização planejar uma resposta para quando esses ataques ocorrerem.
Mitigação de DDoS
Quando uma suspeita de ataque está em andamento, uma organização tem várias opções para mitigar seus efeitos.
Avaliação de risco
As organizações devem realizar regularmente avaliações de risco e auditorias em seus dispositivos, servidores e rede. Embora seja impossível evitar completamente um ataque DDoS, uma compreensão completa tanto das capacidades quanto das vulnerabilidades dos ativos de hardware e software da organização é fundamental. Conhecer os segmentos mais vulneráveis da rede de uma organização é fundamental para entender qual estratégia implementar para diminuir os danos e a interrupção que um ataque de DDoS pode impor.
Diferenciação de tráfego
Se uma organização acredita que acabou de ser vítima de um DDoS, uma das primeiras coisas a fazer é determinar a qualidade ou fonte do tráfego anormal. É claro que uma organização não pode interromper completamente o tráfego, pois isso estaria jogando fora o bem com o mal.
Como estratégia de mitigação, use uma rede Anycast para dispersar o tráfego de ataque em uma rede de servidores distribuídos. Isso é realizado para que o tráfego seja absorvido pela rede e se torne mais gerenciável.
Roteamento de buraco negro
Outra forma de defesa é o roteamento de buraco negro, no qual um administrador de rede, ou o provedor de serviços de internet de uma organização, cria uma rota de buraco negro e empurra o tráfego para esse buraco. Com essa estratégia, todo o tráfego, tanto bom quanto ruim, é roteado para uma rota nula e essencialmente retirado da rede. Isso pode ser bastante extremo, pois o tráfego legítimo também é interrompido e pode levar à perda de negócios.
Limitação de taxa
Outra maneira de mitigar ataques de DDoS é limitar o número de solicitações que um servidor pode aceitar dentro de um período de tempo específico. Isso sozinho geralmente não é suficiente para combater um ataque mais sofisticado, mas pode servir como um componente de uma abordagem multifacetada.
Firewalls
Para diminuir o impacto de um ataque de camada de aplicação ou camada 7, algumas organizações optam por um Firewall de aplicações web (Web Application Firewall, WAF). Um WAF é um dispositivo que fica entre a internet e os servidores de uma empresa e atua como um proxy reverso. Como ocorre com todos os firewalls, uma organização pode criar um conjunto de regras que filtram solicitações. Eles podem começar com um conjunto de regras e depois modificá-las com base no que observam como padrões de atividade suspeita realizada pelo DDoS.
Se uma organização acredita que acabou de ser vítima de um DDoS, uma das primeiras coisas a fazer é determinar a qualidade ou fonte do tráfego anormal. É claro que uma organização não pode interromper completamente o tráfego, pois isso estaria jogando fora o bem com o mal.
Como estratégia de mitigação, use uma rede Anycast para espalhar o tráfego malicioso em uma rede de servidores distribuídos. Isso é realizado para que o tráfego seja absorvido pela rede e se torne mais gerenciável.
Solução de proteção contra DDoS
Uma solução de proteção contra DDoS totalmente robusta inclui elementos que ajudam uma organização tanto na defesa quanto no monitoramento. À medida que a sofisticação e o nível de complexidade dos ataques continuam a evoluir, as empresas precisam de uma solução que possa ajudá-las tanto com ataques conhecidos quanto com ataques do tipo dia zero. Uma solução de proteção contra DDoS deve empregar uma variedade de ferramentas que possam se defender contra todos os tipos de ataque de DDoS e monitorar centenas de milhares de parâmetros simultaneamente.
Proteja sua organização contra ataques conhecidos e de dia zero com o FortiDDoS -- Clique aqui para saber mais.
Perguntas frequentes sobre ataque DDoS
O que é um ataque DDoS?
Um ataque DDoS significa ataque de "negação de serviço distribuído (DDoS)" e é um crime cibernético no qual o invasor inunda um servidor com tráfego de internet para impedir que os usuários acessem sites e serviços online conectados.
Quando um ataque DDoS funciona?
Um ataque DDoS tem como objetivo sobrecarregar os dispositivos, serviços e a rede de seu alvo pretendido com tráfego de internet falso, tornando-os inacessíveis ou inúteis para usuários legítimos.
O que é um exemplo de ataque DDoS?
Ataques diferentes têm como alvo partes diferentes de uma rede e são classificados de acordo com as camadas de conexão de rede que eles têm como alvo. Os três tipos incluem:
- Ataques volumétricos ou baseados em volume
- Ataques de protocolo
- Ataques de camada de aplicação
