O que é um ataque de DDoS?

Há muitos tipos diferentes de ataques de DDoS. Muitas vezes, os invasores usam mais de um tipo para causar estragos em seus alvos. Os três principais tipos são ataques volumétricos, de protocolo e camada de aplicação. O objetivo de todos os ataques é retardar drasticamente ou impedir que o tráfego legítimo chegue ao destino pretendido. Por exemplo, isso pode significar impedir que um usuário acesse um website, compre um produto ou serviço, assista a um vídeo ou interaja nas redes sociais. Além disso, ao tornar os recursos indisponíveis ou diminuir o desempenho, o DDoS pode paralisar uma empresa. Isso pode impedir que funcionários acessem e-mails, aplicações da Web ou conduzam os negócios normalmente.

Para entender melhor como os ataques de DDoS funcionam, detalharemos os diferentes métodos usados pelos invasores. O modelo de OSI (Interconexão de Sistemas Abertos) é uma estrutura em camadas de vários padrões de rede e contém sete camadas diferentes. Cada camada do modelo de OSI tem um propósito único, como os andares de um prédio de escritórios onde operam as diferentes funções de uma empresa. Os invasores visam às diferentes camadas, dependendo do tipo de ativo voltado para a Web ou para a Internet que desejam prejudicar.

A intenção de um ataque de DDoS baseado em volume é sobrecarregar uma rede com grandes quantidades de tráfego, saturando a largura de banda do recurso da vítima pretendida. As grandes quantidades do tráfego de ataque impedem que os usuários legítimos acessem a aplicação ou o serviço, dificultando que o tráfego entre ou saia. Dependendo do alvo, interromper o tráfego legítimo pode fazer com que um cliente do banco não consiga pagar uma conta no prazo, que os compradores de comércio eletrônico não consigam concluir transações on-line, que um paciente do hospital possa ser impedido de acessar seu prontuário médico ou que um cidadão não consiga visualizar seus registros fiscais em um órgão governamental. Independentemente da organização, bloquear as pessoas de um serviço que elas esperam usar on-line causa um impacto negativo.

Os ataques volumétricos usam botnets criados com exércitos de sistemas e dispositivos infectados por malwares individuais. Controlados por um invasor, os bots são usados para causar congestionamento entre um alvo e a Internet em geral, com um tráfego mal-intencionado que satura toda a largura de banda disponível.

Um ataque imprevisto de tráfego de bots pode retardar significativamente ou impedir o acesso a um recurso da Web ou um serviço voltado para a Internet. Como os bots invadem dispositivos legítimos para amplificar os ataques de DDoS que fazem uso intenso de largura de banda, geralmente sem o conhecimento do usuário, a organização vítima do ataque tem dificuldades para detectar o tráfego mal-intencionado.

Há uma variedade de vetores de ataque comuns que se enquadram na categoria de DDoS volumétrico, muitos aproveitando as técnicas de ataque de reflexão e amplificação. Muitos utilizam técnicas de ataque por reflexão e amplificação para sobrecarregar o alvo, seja uma rede ou um serviço.

Com frequência, a modalidade inundação de UDP é escolhida para os ataques de DDoS de maior largura de banda. Os invasores tentam sobrecarregar as portas do host visado com pacotes IP que contêm o protocolo UDP sem estado. Em seguida, o host da vítima procura aplicações associadas aos pacotes de UDP e, quando não as encontra, retorna uma mensagem "Destination Unreachable" (destino inacessível) ao remetente. Muitas vezes, os endereços IP são falsificados para anonimizar o invasor e, quando o host visado é inundado com o tráfego do ataque, o sistema deixa de responder e fica indisponível para os usuários legítimos.

O que é um ataque de DDoS do tipo reflexão/amplificação de DNS (Sistema de Nomes de Domínio)?

Os ataques de reflexão de DNS (Sistema de Nomes de Domínio) são um tipo comum de vetor em que os cibercriminosos falsificam o endereço IP do alvo para enviar grandes quantidades de solicitações aos servidores DNS abertos. Em resposta, esses servidores de DNS respondem às solicitações mal-intencionadas enviadas pelo endereço IP falsificado, o que cria um ataque ao alvo desejado por meio de uma inundação de respostas de DNS. Muito rapidamente, o grande volume de tráfego criado a partir das respostas do DNS sobrecarrega os serviços da organização vitimada, o que os torna indisponíveis e impede que o tráfego legítimo chegue ao destino pretendido.

O ICMP (Internet Control Message Protocol) é usado principalmente para mensagens de erro e, normalmente, não troca dados entre sistemas. Os pacotes de ICMP podem acompanhar os pacotes de TCP (Protocolo de Controle de Transmissão), que permitem que programas de aplicações e dispositivos de computação troquem mensagens em uma rede ao se conectarem a um servidor. Uma inundação de ICMP é um método de ataque de DDoS à infraestrutura da camada 3 que usa mensagens de ICMP para sobrecarregar a largura de banda da rede visada.

Os ataques de protocolo tentam consumir e esgotar a capacidade de computação de vários recursos de infraestrutura de rede, como servidores ou firewalls, por meio de solicitações de conexão mal-intencionadas que exploram as comunicações dos protocolos. Ataques de inundação de sincronização (SYN) e Smurf são dois tipos comuns de DDoS baseado em protocolo. É possível medir os ataques de protocolo em pps (pacotes por segundo) e bps (bits por segundo).

Uma das principais maneiras pelas quais as pessoas se conectam a aplicações da Internet é por meio do TCP (Protocolo de Controle de Transmissão). Essa conexão requer um handshake tridirecional de um serviço do TCP, como um servidor da Web, e envolve o envio de um pacote de SYN (sincronização) de onde o usuário se conecta ao servidor que, então, devolve um pacote SYN-ACK (confirmação de sincronização). Este, por fim, é respondido com uma comunicação final de ACK (confirmação) para concluir o handshake do TCP.

Durante um ataque de inundação de SYN, um cliente mal-intencionado envia um grande volume de pacotes de SYN (primeira parte do handshake usual), mas nunca envia a confirmação para concluir o handshake. Isso deixa o servidor aguardando uma resposta a essas conexões semiabertas de TCP, que acabam ficando sem capacidade para aceitar novas conexões dos serviços que monitoram estados de conexão. 

Um ataque de inundação de SYN é como um trote terrível feito por toda a turma de graduação de um grande colégio, em que todos os alunos ligam para a mesma pizzaria e pedem uma pizza no mesmo período. Quando o entregador vai organizar os pedidos, percebe que há pizzas demais, que elas não cabem no carro e que os pedidos não têm endereço. Assim, todo o processo de entrega é interrompido.

O nome desse ataque de DDoS se baseia no conceito de que invasores minúsculos e numerosos podem sobrecarregar um oponente muito maior por volume absoluto, assim como a colônia fictícia de pequenos humanoides azuis chamados de Smurfs.

Em um ataque de negação de serviço distribuído do tipo Smurf, um grande número de pacotes de ICMP (Protocolo de Mensagens de Controle da Internet) com o IP de origem falsificado de um alvo pretendido é transmitido para uma rede de computadores usando um endereço de transmissão IP. Por padrão, a maioria dos dispositivos em uma rede responderá enviando uma resposta ao endereço IP de origem. Dependendo do número de máquinas na rede, o computador da vítima pode ser extremamente desacelerado ao ser inundado de tráfego.

Realizados por meio da inundação de aplicações com solicitações mal-intencionadas, os ataques de camada de aplicação são medidos em RPS (solicitações por segundo). Também chamados de ataques de DDoS de camada 7, esses ataques visam e interrompem aplicações da Web específicas, não redes inteiras. Embora sejam difíceis de evitar e mitigar, eles estão entre os ataques de DDoS mais fáceis de iniciar.

Em comparação, é fácil assustar uma manada de cavalos e fazê-los correr em disparada, mas é quase impossível controlá-los novamente. Os ataques de camada de aplicação são assim: fáceis de implantar, difíceis de desacelerar ou parar e direcionados especificamente a um alvo.

Com uma sólida estratégia de DDoS e um runbook em vigor, as organizações podem se proteger e limitar os danos causados por ataques de DDoS. A proteção anti-DDoS de alta capacidade, alto desempenho e sempre ativa de soluções baseadas em nuvem pode impedir que tráfego malicioso chegue a um website ou interfira nas comunicações entre APIs da Web. Um serviço de depuração em nuvem pode mitigar rapidamente os ataques direcionados a ativos não relacionadas à Web, como a infraestrutura de rede, em escala.

Em um ambiente de ataques em constante evolução, a proteção contra DDoS oferecida por um provedor de mitigação que adota uma abordagem de defesa em profundidade pode manter as organizações e os usuários finais seguros. Um serviço de mitigação de DDoS detectará e bloqueará ataques de DDoS o mais rapidamente possível, idealmente em zero segundo ou alguns segundos a partir do momento em que o tráfego do ataque chegar aos centros de depuração do provedor de mitigação. Como os vetores de ataque continuam mudando e os tamanhos dos ataques continuam aumentando, para obter a melhor proteção contra DDoS, um provedor deve investir continuamente na capacidade de defesa. Para acompanhar os ataques grandes e complexos, é necessário ter as tecnologias certas para detectar o tráfego mal-intencionado e iniciar sólidas contramedidas defensivas para mitigar ataques rapidamente.

Os provedores de mitigação de DDoS filtram o tráfego mal-intencionado para impedir que ele atinja o ativo visado. O tráfego do ataque é bloqueado por um serviço de depuração de DDoS, um serviço de DNS em nuvem ou um serviço de proteção da Web baseado em CDN. A mitigação em nuvem remove o tráfego do ataque antes que ele atinja o alvo.

A depuração de DDoS pode manter seu serviço ou negócio online em funcionamento, mesmo durante um ataque. Ao contrário da mitigação baseada em CDN, um serviço de depuração de DDoS pode proteger todas as portas, protocolos e aplicações do data center, incluindo serviços baseados na Web e em IP. 

As organizações direcionam o tráfego de rede de uma de duas maneiras: por meio de uma alteração do anúncio de rota do BGP (Border Gateway Protocol) ou de um redirecionamento do DNS (um registro ou CNAME) para a infraestrutura de depuração do provedor de mitigação. O tráfego é monitorado e inspecionado em busca de atividades mal-intencionadas, e a mitigação será aplicada se ataques de DDoS forem identificados. Normalmente, esse serviço pode estar disponível em configurações sob demanda e sempre ativas, dependendo da postura de segurança preferida de uma organização (embora um número cada vez maior de organizações esteja migrando para um modelo de implantação sempre ativo pela resposta defensiva mais rápida).

Uma CDN avançada e devidamente configurada pode oferecer proteção contra ataques de DDoS. Quando um provedor de serviços de proteção de websites usa sua CDN para acelerar o tráfego especificamente através de protocolos HTTP e HTTPS, todos os ataques de DDoS direcionados ao URL podem ser interrompidos na edge da rede. 

Isso significa que os ataques de DDoS de camadas 3 e 4 são mitigados imediatamente, pois esse tipo de tráfego não se destina às portas da Web 80 e 443. Como um proxy em nuvem, a rede fica na frente da infraestrutura de TI de um cliente e entrega o tráfego dos usuários finais aos websites e às aplicações. Como essas soluções operam em linha, os ativos voltados para a Web são sempre protegidos, sem interação humana, contra os ataques de DDoS na camada de rede. 

Para a defesa específica da camada de aplicação, as organizações devem implantar um Web Application Firewall para combater ataques avançados. Isso inclui certos tipos de DDoS, como solicitações de http, inundações de HTTP GET e HTTP POST, que visam interromper os processos de aplicações da camada 7 do modelo OSI.

As organizações podem reduzir sua superfície de ataque e, ao mesmo tempo, o risco de tempo de inatividade e interrupções que causem impacto nos negócios implantando controles de cibersegurança específicos de DDoS. Esse tipo de defesa pode impedir um ataque e permitir que visitantes legítimos acessem sua organização on-line como fariam normalmente. A proteção contra DDoS impede que o tráfego mal-intencionado atinja seu alvo, limitando o impacto do ataque e, ao mesmo tempo, permitindo a passagem do tráfego normal.

Durante a mitigação, seu provedor de proteção contra DDoS implantará uma sequência de contramedidas destinadas a interromper e diminuir o impacto de um ataque de negação de serviço distribuído. À medida que os ataques modernos se tornam cada vez mais avançados, a proteção de mitigação de DDoS em nuvem ajuda a oferecer defesa em profundidade e em escala, mantendo a infraestrutura de back-end e os serviços voltados para a Internet disponíveis e com desempenho ideal.

Por meio dos serviços de proteção contra ataques de DDoS, as organizações podem:

• Reduzir a superfície de ataque e os riscos comerciais associados aos ataques de DDoS
• Evitar tempo de inatividade com impacto nos negócios
• Evitar que páginas da Web fiquem offline
• Aumentar a velocidade de resposta a um evento de DDoS e otimizar os recursos de resposta a incidentes
• Diminuir o tempo para entender e investigar uma interrupção do serviço
• Evitar a perda de produtividade dos funcionários
• Implantar contramedidas mais rapidamente para se defender contra um ataque de DDoS
• Evitar danos à reputação da marca e ao resultado financeiro
• Manter o tempo de atividade e o desempenho das aplicações em todos os recursos digitais
• Minimizar os custos associados à segurança na Web
• Defender-se contra extorsão, ransomware e outras novas ameaças em evolução

A Akamai oferece proteção em profundidade contra DDoS por meio de uma rede transparente de defesas dedicadas de depuração em nuvem, DNS (Sistema de Nomes de Domínio) distribuído e edge. Esses serviços de nuvem de uso específico foram criados para fortalecer as posturas de segurança contra DDoS e, ao mesmo tempo, reduzir superfícies de ataque, aprimorar a qualidade da mitigação e reduzir falsos positivos, ao mesmo tempo em que aumentam a resiliência contra os maiores e mais complexos ataques.

Além disso, as soluções podem ser ajustadas aos requisitos específicos de suas aplicações da Web ou seus serviços baseados na Internet.

A Akamai projetou a plataforma de edge e cloud mais distribuída globalmente como um proxy reverso que somente aceita tráfego pelas portas 80 e 443. Todos os ataques de DDoS à camada de rede são descartados instantaneamente na edge com um SLA (Acordo de Nível de Serviço) de zero segundo. Isso significa que os invasores que iniciam ataques de DDoS na camada de rede não têm qualquer chance.

No caso de ataques de DDoS de camada de aplicação, incluindo aqueles iniciados por meio de APIs, o Kona Site Defender os detecta e mitiga enquanto concede acesso a usuários legítimos simultaneamente.

O Edge DNS, serviço de DNS autoritativo da Akamai, também filtra o tráfego na edge. Ao contrário de outras soluções de DNS, a Akamai projetou o Edge DNS especificamente para oferecer disponibilidade e resiliência contra ataques de DDoS. O Edge DNS também oferece desempenho superior, com redundâncias arquitetônicas em vários níveis, incluindo servidores de nomes, pontos de presença, redes e, até mesmo, nuvens IP Anycast segmentadas.