Clique e receba as novidades quentinhas no Telegram

Um ataque distribuído de negação de serviço (DDoS) é uma das armas mais poderosas da Internet. Quando você ouve sobre um site sendo “derrubado por hackers”, geralmente significa que ele se tornou vítima de um ataque DDoS. Em resumo, isso significa que os hackers tentaram tornar um site ou computador indisponível ao inundar ou travar o site com muito tráfego.

Veja também: Ataques via Bluetooth, bilhões de usuários estão vulneráveis!

O que é um ataque de negação de serviço distribuídos (DDoS)?

Ataque DDoS
Entenda o que é um ataque DDoS – Foto: Reprodução/CloudFare

Os ataques distribuídos de negação de serviço têm como alvo sites e serviços online. Dessa forma, o objetivo é sobrecarregá-los com mais tráfego do que o servidor ou a rede pode acomodar. Além disso, outro objetivo é tornar o site ou serviço inoperante.

O tráfego pode consistir em mensagens recebidas, solicitações de conexões ou pacotes falsos. Em alguns casos, as vítimas visadas são ameaçadas com um ataque DDoS ou são atacadas em um nível baixo. Isso pode ser combinado com uma ameaça de extorsão de um ataque mais devastador, a menos que a empresa pague um resgate de criptomoeda. Por exemplo, em 2015 e 2016, um grupo criminoso chamado Armada Collective extorquiu repetidamente bancos, provedores de host e outros dessa maneira.

Exemplos de ataques DDoS

Entenda o que é um ataque DDoS – Foto: Reprodução/CloudFare

Aqui está um pouco da história e dois ataques notáveis.

Em 2000, Michael Calce, um garoto de 15 anos que usava o nome online “Mafiaboy”, lançou um dos primeiros ataques DDoS registrados. Calce invadiu as redes de computadores de várias universidades. Ele usou seus servidores para operar um ataque DDoS que travou vários sites importantes, incluindo CNN, E-Trade, eBay e Yahoo. Dessa forma, Calce foi condenado por seus crimes no Tribunal da Juventude de Montreal. Quando adulto, ele se tornou um “hacker de chapéu branco”, identificando vulnerabilidades nos sistemas de computadores das principais empresas.

Mais recentemente, em 2016, a Dyn, uma importante provedora de sistemas de nomes de domínio – ou DNS – foi atingida por um ataque DDoS maciço que derrubou sites e serviços importantes, incluindo AirBnB, CNN, Netflix, PayPal, Spotify, Visa, Amazon, The New York Times, Reddit e GitHub.

A indústria de jogos também foi alvo de ataques DDoS, junto com empresas de software e mídia.

Às vezes, ataques DDoS são feitos para desviar a atenção da organização de destino. Enquanto a organização alvo se concentra no ataque DDoS, o cibercriminoso pode buscar uma motivação principal, como instalar software malicioso ou roubar dados.

Os ataques DDoS têm sido usados ??como uma arma de escolha de hackers, cibercriminosos com fins lucrativos, estados nacionais e até – principalmente nos primeiros anos de ataques DDoS – especialistas em computadores que procuram fazer um grande gesto.

Como um ataque DDoS funciona?

A teoria por trás de um ataque DDoS é simples, embora os ataques possam variar em seu nível de sofisticação. Aqui está a ideia básica. Um DDoS é um ataque cibernético em um servidor, serviço, site ou rede que o inunda com o tráfego da Internet. Dessa forma, se o tráfego ultrapassar o destino, seu servidor, serviço, site ou rede será inoperante.

As conexões de rede na Internet consistem em diferentes camadas do modelo Open Systems Interconnection (OS). Portanto, diferentes tipos de ataques DDoS se concentram em camadas específicas. Alguns exemplos:

  • Camada 3, a camada de rede. Os ataques são conhecidos como ataques de Smurf, inundações de ICMP e fragmentação de IP / ICMP;
  • Camada 4, a camada de Transporte. Os ataques incluem inundações SYN, inundações UDP e esgotamento da conexão TCP;
  • Camada 7, a camada Aplicação. Principalmente, ataques criptografados em HTTP.

Botnets

A principal maneira de realizar um DDoS é através de uma rede de computadores ou bots hackeados e controlados remotamente. Estes são freqüentemente chamados de “computadores zumbis”. Eles formam o que é conhecido como “botnet” ou rede de bots. Eles são usados ??para inundar sites, servidores e redes direcionados com mais dados do que podem acomodar.

As redes de bots podem enviar mais solicitações de conexão do que um servidor pode manipular ou enviar grandes quantidades de dados que excedem os recursos de largura de banda da vítima alvo. As redes de bots podem variar de milhares a milhões de computadores controlados por criminosos cibernéticos. Os criminosos cibernéticos usam redes de bots para diversos fins, incluindo o envio de spam e formas de malware, como ransomware. Seu computador pode fazer parte de uma botnet, sem você saber.

Cada vez mais, os milhões de dispositivos que constituem a Internet das Coisas (IoT), em constante expansão, são invadidos e usados ??para se tornar parte das redes de bots usadas para ataques DDoS. A segurança dos dispositivos que compõem a Internet das Coisas geralmente não é tão avançada quanto o software de segurança encontrado em computadores e notebooks. Isso pode deixar os dispositivos vulneráveis ??para os cibercriminosos explorarem a criação de redes de bots mais expansivas.

O ataque ao Dyn de 2016 foi realizado por meio do malware Mirai, que criou uma botnet de dispositivos IoT, incluindo câmeras, televisões inteligentes, impressoras e monitores de bebê. O botnet Mirai de dispositivos da Internet das Coisas pode ser ainda mais perigoso do que apareceu pela primeira vez. Isso porque o Mirai foi o primeiro botnet de código-fonte aberto. Isso significa que o código usado para criar a botnet está disponível para os cibercriminosos que podem sofrer mutações e evoluí-lo para uso em futuros ataques DDoS.

O que é uma botnet?

Entenda o que é um ataque DDoS – Foto: Reprodução/Norton

A Internet está cheia de ameaças à segurança online. Além disso, muitas dessas ameaças são apenas tecnologias produtivas e positivas voltadas para o uso mal. A botnet é um exemplo de uso de boas tecnologias para más intenções.

Inundação de tráfego

As redes de bots são usadas para criar uma inundação HTTP ou HTTPS. A botnet de computadores é usada para enviar o que parecem ser solicitações HTTP ou HTTPS legítimas para atacar e sobrecarregar um servidor da web. HTTP – abreviação de HyperText Transfer Protocol – é o protocolo que controla como as mensagens são formatadas e transmitidas. Uma solicitação HTTP pode ser uma solicitação GET ou uma solicitação POST. Dessa forma, veja aqui a diferença:

  • Uma solicitação GET é aquela em que as informações são recuperadas de um servidor;
  • Uma solicitação POST é aquela em que as informações são solicitadas para upload e armazenamento. Esse tipo de solicitação requer maior uso de recursos pelo servidor da web de destino.

Enquanto as inundações HTTP usando solicitações POST usam mais recursos do servidor da Web, as inundações HTTP que utilizam solicitações GET são mais simples e fáceis de implementar.

Um ataque DDoS pode ser adquirido no mercado negro

A montagem das redes de bots necessárias para realizar ataques DDoS pode ser demorada e difícil.

Os cibercriminosos desenvolveram um modelo de negócios que funciona da seguinte maneira: Cibercriminosos mais sofisticados criam botnets e os vendem ou alugam para cibercriminosos menos sofisticados na dark web – aquela parte da Internet na qual criminosos podem comprar e vender mercadorias como botnets e números de cartão de crédito roubados anonimamente.

A dark web é geralmente acessada através do navegador Tor, que fornece uma maneira anônima de pesquisar na Internet. Dessa forma, as redes de bots são alugadas na dark web por apenas algumas centenas de dólares. Além disso, vários sites obscuros vendem uma grande variedade de bens, serviços e dados roubados.

De certa forma, esses sites obscuros funcionam como varejistas on-line convencionais. Eles podem fornecer garantias, descontos e classificações de usuários.

Quais são os “sintomas” de um ataque DDoS?

Os ataques DDoS têm “sintomas” definitivos. O problema é que os sintomas são muito parecidos com outros problemas que você pode ter com o seu computador – desde vírus a uma conexão lenta à Internet – que pode ser difícil dizer sem diagnóstico profissional. Portanto, os sintomas de um DDoS incluem:

  • Acesso lento aos arquivos, local ou remotamente;
  • Incapacidade a longo prazo de acessar um site específico;
  • Desconexão da Internet;
  • Problemas ao acessar todos os sites;
  • Quantidade excessiva de emails de spam.

A maioria desses sintomas pode ser difícil de identificar como incomum. Mesmo assim, se dois ou mais ocorrerem por longos períodos de tempo, você poderá ser vítima de um DDoS.

Tipos de ataques DDoS

Os ataques DDoS geralmente consistem em ataques que se enquadram em uma ou mais categorias, com alguns ataques mais sofisticados combinando ataques em vetores diferentes. Portanto, veja abaixo as categorias:

  • Ataques Baseados em Volume. Eles enviam grandes quantidades de tráfego para sobrecarregar a largura de banda de uma rede;
  • Ataques de protocolo. Essas são mais focadas e exploram vulnerabilidades nos recursos de um servidor;
  • Ataques de aplicativos. são a forma mais sofisticada de ataques DDoS, com foco em aplicativos da Web específicos.

Aqui está uma análise mais detalhada dos diferentes tipos de ataques DDoS.

Ataques de conexão TCP

Os ataques de conexão TCP ou SYN Floods exploram uma vulnerabilidade na sequência de conexões TCP comumente referida como conexão de handshake de três vias com o host e o servidor.

Dessa forma, o servidor de destino recebe uma solicitação para iniciar o handshake. Em um SYN Flood, o aperto de mão nunca é concluído. Isso deixa a porta conectada ocupada e indisponível para processar outras solicitações. Enquanto isso, o cibercriminoso continua enviando cada vez mais solicitações, sobrecarregando todas as portas abertas e desligando o servidor.

Ataques de aplicativos

Os ataques da camada de aplicativo – às vezes chamados de ataques da camada 7 – são direcionados aos aplicativos da vítima do ataque de forma mais lenta. Dessa forma, eles podem aparecer inicialmente como solicitações legítimas dos usuários, até que seja tarde demais e a vítima fique sobrecarregada e incapaz de responder. Além disso, esses ataques são direcionados à camada em que um servidor gera páginas da web e responde a solicitações de http.

Freqüentemente, os ataques no nível do aplicativo são combinados com outros tipos de ataques DDoS direcionados não apenas aos aplicativos, mas também à rede e largura de banda. Os ataques da camada de aplicativo são particularmente ameaçadores. Por quê? Eles são baratos de operar e mais difíceis de detectar do que ataques focados na camada de rede.

Ataques de fragmentação

Os ataques de fragmentação são outra forma comum de ataque DDoS. Dessa forma, o cibercriminoso explora vulnerabilidades no processo de fragmentação de datagramas, no qual os datagramas IP são divididos em pacotes menores, transferidos por uma rede e depois remontados. Nos ataques de fragmentação, pacotes de dados falsos que não podem ser remontados sobrecarregam o servidor.

Em outra forma de ataque de fragmentação chamado ataque de lágrima, o malware enviado impede a remontagem dos pacotes. Além disso, a vulnerabilidade explorada nos ataques Teardrop foi corrigida nas versões mais recentes do Windows, mas os usuários de versões desatualizadas ainda estariam vulneráveis.

Ataques Volumétricos

Ataques volumétricos são a forma mais comum de ataques DDoS. Eles usam uma botnet para inundar a rede ou o servidor com tráfego que parece legítimo, mas sobrecarrega os recursos da rede ou do servidor de processar o tráfego.

Tipos de amplificação DDoS

Em um ataque de amplificação de DDoS, os cibercriminosos sobrecarregam um servidor DNS (Domain Name System) com o que parecem ser solicitações legítimas de serviço. Dessa forma, usando várias técnicas, o cibercriminoso é capaz de ampliar as consultas DNS, através de uma botnet, em uma enorme quantidade de tráfego direcionado à rede alvo. Isso consome a largura de banda da vítima.

Reflexão de Chargen

Uma variação de um ataque de amplificação de DDoS explora o Chargen, um protocolo antigo desenvolvido em 1983. Nesse ataque, pequenos pacotes contendo um IP falsificado da vítima alvo são enviados para dispositivos que operam o Chargen e fazem parte da Internet das Coisas. Por exemplo, muitas copiadoras e impressoras conectadas à Internet usam esse protocolo. Os dispositivos inundam o destino com pacotes UDP (User Datagram Protocol) e o destino não pode processá-los.

Reflexão DNS

Os ataques de reflexão de DNS são um tipo de ataque DDoS que os cibercriminosos já usaram muitas vezes. A suscetibilidade a esse tipo de ataque geralmente ocorre devido a consumidores ou empresas com roteadores ou outros dispositivos com servidores DNS configurados incorretamente para aceitar consultas de qualquer lugar, em vez de servidores DNS configurados adequadamente para fornecer serviços somente em um domínio confiável.

Dessa forma, os cibercriminosos enviam consultas DNS falsificadas que parecem vir da rede do alvo. Assim, quando os servidores DNS respondem, elas o fazem no endereço de destino. O ataque é ampliado consultando um grande número de servidores DNS.

Confira o mapa de ataque digital DDoS

O Mapa de Ataque Digital foi desenvolvido pelo sistema global de inteligência contra ameaças ATLAS da Arbor Networks. Dessa forma, ele usa dados coletados de mais de 330 clientes ISP, compartilhando anonimamente o tráfego de rede e informações de ataque

Portanto, dê uma olhada no Mapa de Ataque Digital. Ele permite ver em um mapa global onde estão ocorrendo ataques DDoS com informações atualizadas a cada hora.

Como se proteger de ataques de negação de serviço distribuído

Proteger-se de um ataque DDoS é uma tarefa difícil. Entretanto, as empresas precisam se planejar para defender e mitigar esses ataques. Determinar suas vulnerabilidades é um elemento inicial essencial de qualquer protocolo de proteção.

Método 1: Tome uma ação rápida

Quanto mais cedo um ataque DDoS em andamento for identificado, mais facilmente o dano poderá ser contido. Portanto, as empresas devem usar serviços de tecnologia ou anti-DDoS que podem ajudá-lo a reconhecer picos legítimos no tráfego de rede e um ataque DDoS.

Se você achar que sua empresa está sendo atacada, notifique o seu provedor de ISP o mais rápido possível para determinar se seu tráfego pode ser roteado novamente. Ter um ISP de backup também é uma boa ideia. Além disso, considere serviços que dispersam o tráfego maciço de DDoS entre uma rede de servidores, tornando o ataque ineficaz.

Os provedores de serviços de Internet usarão o Black Hole Routing, que direciona o tráfego para uma rota nula, às vezes chamada de buraco negro quando ocorre tráfego excessivo, impedindo que o site ou a rede alvo caia, mas a desvantagem é que tanto o tráfego legítimo quanto o ilegítimo são redirecionados.

Método 2: configurar firewalls e roteadores

Firewalls e roteadores devem ser configurados para rejeitar o tráfego falso e você deve manter seus roteadores e firewalls atualizados com os patches de segurança mais recentes. Dessa forma, estes continuam sendo sua linha de defesa inicial.

O hardware front-end do aplicativo, integrado à rede antes do tráfego chegar ao servidor, analisa e rastreia os pacotes de dados, classificando-os como prioritários, regulares ou perigosos à medida que entram no sistema e podem ser usados ??para bloquear dados ameaçadores.

O que é um firewall?

Entenda o que é um ataque DDoS – Foto: Reprodução/Norton

Um firewall é uma barreira que protege um dispositivo contra comunicações perigosas e indesejadas.

Método 3: considere a inteligência artificial

Embora as defesas atuais de firewalls avançados e sistemas de detecção de intrusão sejam comuns, a IA está sendo usada para desenvolver novos sistemas.

Os sistemas que podem rotear rapidamente o tráfego da Internet para a nuvem, onde são analisados, e o tráfego malicioso da Web podem ser bloqueados antes de chegar aos computadores da empresa. Portanto, esses programas de IA podem identificar e defender contra padrões indicativos conhecidos de DDoS. Além disso, os recursos de autoaprendizagem da IA ??ajudariam a prever e identificar futuros padrões de DDoS.

Os pesquisadores estão explorando o uso de blockchain, a mesma tecnologia por trás do Bitcoin e outras criptomoedas para permitir que as pessoas compartilhem sua largura de banda não utilizada para absorver o tráfego malicioso criado em um ataque DDoS e torná-lo ineficaz.

Método 4: Proteger seus dispositivos Internet das Coisas

Este método é para os consumidores. Para impedir que seus dispositivos se tornem parte de uma botnet, é inteligente garantir que seus computadores tenham software de segurança confiável. Portanto, sempre mantenha ele atualizado com os patches de segurança mais recentes.

Se você possui dispositivos IoT, verifique se os dispositivos estão formatados para a proteção máxima. Senhas seguras devem ser usadas para todos os dispositivos. Portanto, os dispositivos da Internet das Coisas ficaram vulneráveis ??a senhas fracas, com muitos dispositivos operando com senhas padrão facilmente descobertas. Além disso, um firewall forte também é importante.

Fonte: Norton

Gostou? Entendeu o que é um ataque DDoS? Deixe seu comentário. Além disso, não se esqueça de entrar no nosso grupo do Telegram. É só clicar na imagem azul que está abaixo!