O que é ataque de DDoS?

O que é ataque DDoS?

O ataque distribuído de negação de serviço (DDoS) é uma tentativa maliciosa de interromper o tráfego normal de um servidor, serviço ou rede ao sobrecarregar o alvo ou sua infraestrutura com uma inundação de tráfego da internet.

Os ataques de DDoS são bem-sucedidos graças ao uso de vários sistemas de computadores comprometidos como fontes de tráfego do ataque. As máquinas usadas indevidamente podem ser computadores e outros recursos de rede, como dispositivos de IoT.

Visto sob um prisma mais elevado, um ataque de DDoS é como um engarramento de tráfego inesperado interrompendo uma estrada, evitando que o tráfego normal chegue ao seu destino.

Como funciona o ataque de DDoS?

Os ataques de DDoS são efetuados por redes de máquinas conectadas à internet.

Essas redes são formadas de computadores e outros dispositivos (como dispositivos IoT) que foram infectados com malware, permitindo que sejam controlados remotamente por um invasor. Individualmente, esses dispositivos são conhecidos como bots (ou zumbis) e um grupo de bots é chamado de botnet.

Após uma botnet ter sido estabelecida, o invasor torna-se capaz de direcionar um ataque enviando instruções remotas para cada bot.

Quando o servidor ou a rede de uma vítima torna-se alvo de uma botnet, cada bot envia solicitações para o endereço IP do alvo, possivelmente fazendo com que o servidor ou a rede fiquem sobrecarregados, o que resulta em uma negação de serviço ao tráfego normal.

Como cada bot é um dispositivo de internet legítimo, separar o tráfego do ataque do tráfego normal pode ser difícil.

Como identificar um ataque de DDoS

O sintoma mais óbvio de um ataque de DDoS é que um site ou serviço se torna repentinamente lento ou indisponível. Mas, como existem vários eventos que podem criar problemas de desempenho semelhantes — como um pico de tráfego legítimo, por exemplo — , geralmente é necessária uma investigação adicional. As ferramentas de análise de dados de tráfego podem ajudá-lo a detectar alguns desses sinais reveladores de um ataque de DDoS:

• Uma quantidade suspeita de tráfego originária de um único endereço de IP ou de uma faixa de endereços IP
• Uma enxurrada de tráfego de usuários com o mesmo perfil de comportamento, como tipo de dispositivo, geolocalização ou versão de navegador web
• Um aumento inexplicado de solicitações de uma mesma página ou ponto de terminação
• Padrões de tráfego incomuns, como picos em horários inusitados ou padrões que parecem artificiais (por ex., um pico a cada 10 minutos)

Existem outros sinais de um ataque de DDoS mais específicos, que podem variar conforme o tipo de ataque.

Quais são alguns tipos comuns de ataques de DDoS?

Diferentes tipos de ataque de DDoS visam diversos componentes de uma conexão de rede. Para entender como funcionam os diferentes ataques de DDoS, é preciso saber como uma conexão de rede é estabelecida.

Uma conexão de rede na internet é composta de muitos componentes diferentes, ou “camadas”. Como ocorre com a construção de uma casa a partir do zero, cada camada do modelo tem uma finalidade diferente.

O modelo OSI, mostrado abaixo, é uma estrutura conceitual usada para descrever a conectividade da rede em sete camadas distintas.

Embora quase todos os ataques de DDoS envolvam a sobrecarga de tráfego do dispositivo ou rede visados, os ataques podem ser divididos em três categorias. Um invasor pode usar um ou vários vetores de ataque diferentes, ou alternar os vetores de ataque em resposta às medidas de proteção adotadas pelo alvo.

Ataques à camada de aplicativos

O objetivo do ataque:

O objetivo desses ataques, que costumam ser conhecidos como ataques de DDoS na camada 7 (com referência à camada 7 do modelo OSI), é exaurir os recursos do alvo de modo a criar uma negação de serviço.

Os ataques visam a camada na qual as páginas da web são geradas no servidor e distribuídas em resposta a uma solicitação HTTP. Em termos computacionais, sai barato executar uma única solicitação HTTP no lado do cliente, mas a resposta do servidor visado pode sair cara, já que muitas vezes o servidor precisa carregar vários arquivos e fazer diversas consultas ao banco de dados para gerar uma página da web.

É difícil defender-se de um ataque na camada 7 porque pode ser difícil diferenciar o tráfego malicioso do tráfego legítimo.

Exemplo de ataque à camada de aplicativo:

Inundação de HTTP

Esse ataque é semelhante a pressionar o botão de atualização de um navegador web repetidamente em muitos computadores diferentes ao mesmo tempo: um grande número de solicitações HTTP inundam o servidor, resultando na negação de serviço.

Esse tipo de ataque varia do simples ao complexo.

Implementações mais simples podem acessar um URL com o mesmo intervalo dos endereços de IP de ataque, referências e agentes de usuário. Versões complexas podem usar um grande número de endereços de IP de ataque e direcionar para URLs aleatórios alvo, usando referências aleatórias e agentes de usuário.

Ataques de protocolo

O objetivo do ataque:

Os ataques de protocolo, também conhecidos como ataques de exaustão de estado, provocam uma interrupção do serviço ao consumir em excesso os recursos dos servidores e/ou recursos de equipamentos de rede como firewalls e balanceadores de carga.

Os ataques de protocolo usam vulnerabilidades da camada 3 e da camada 4 da pilha de protocolos para tornar o alvo inacessível.

Exemplo de ataque de protocolo:

Inundação SYN

A inundação SYN é semelhante a um funcionário do almoxarifado que recebe solicitações da frente de loja.

O funcionário recebe um pedido, pega o pacote e aguarda a confirmação antes de levar o pacote à frente da loja. Ele vai recebendo muitos outros pedidos de pacotes sem confirmação até que não consegue carregar mais nenhum, ficando sobrecarregado. Sendo assim, os pedidos começam a ficar sem atendimento.

Esse ataque explora o handshake TCP — a sequência de comunicações usada por dois computadores para iniciar uma conexão de rede — enviando a um alvo um grande número de pacotes SYN com “pedidos iniciais de conexão” TCP com falsos endereços IP de origem.

A máquina alvo responde a todas as solicitações de conexão e, em seguida, espera a etapa final da negociação (handshake), que nunca ocorre e esgota os recursos do alvo no processo.

Ataques volumétricos

O objetivo do ataque:

Essa categoria de ataques tenta criar congestionamento por meio do consumo de toda a largura de banda disponível entre o alvo e a internet maior. Grandes volumes de dados são enviados para um alvo, utilizando uma forma de amplificação ou um outro meio de criação de tráfego em massa, como solicitações de uma botnet.

Exemplo de amplificação:

Amplificação de DNS

Uma amplificação de DNS é como se alguém ligasse para um restaurante e dissesse: “Quero todos os itens do seu cardápio, um de cada. Agora, me ligue de volta e repita todo o meu pedido” — o telefone da ligação de retorno sendo o número da vítima. A cada pequeno esforço, uma longa resposta é gerada e enviada à vítima.

Ao fazer uma solicitação para um servidor de DNS aberto com um falso endereço de IP (o endereço de IP da vítima), o endereço de IP visado, então, recebe uma resposta do servidor.

Qual é o processo para mitigar um ataque de DDoS?

A principal preocupação na mitigação de um ataque de DDoS é a distinção entre o tráfego do ataque e o tráfego normal.

Por exemplo, se o lançamento de um produto fizer com que o site da empresa seja inundado por clientes ansiosos, cortar todo esse tráfego será um erro. Mas se, de repente, uma empresa sofre um aumento de tráfego proveniente de invasores conhecidos, provavelmente será necessário um esforço no sentido de aliviar o ataque.

A dificuldade está em distinguir os clientes reais do tráfego de ataque.

Na internet moderna, o tráfego de DDoS pode se apresentar de diversas formas, desde ataques de origem única e não falsificada até ataques de DDoS multivetor complexos e adaptáveis.

O ataque de DDoS multivetor usa várias vias de ataque para sobrecarregar o alvo de diversas formas, potencialmente desviando os esforços de mitigação para outra trajetória.

Um ataque direcionado a diversas camadas da pilha de protocolos simultaneamente, como uma amplificação de DNS (direcionado às camadas 3 e 4) combinado com uma inundação de HTTP (direcionada à camada 7) é um exemplo de DDoS multivetor.

A mitigação de um ataque de DDoS multivetor exige diversas estratégias para combater trajetórias diferentes.

De modo geral, quanto mais complexo o ataque, mais difícil provavelmente será separar o tráfego de ataque do tráfego normal: o objetivo do invasor é se misturar ao máximo para tornar os esforços de mitigação o mais ineficientes possível.

Tentativas de mitigação que envolvem a redução ou a limitação do tráfego de forma indiscriminada podem eliminar tráfego legítimo junto com o ilegítimo, e o ataque também pode se modificar e se adaptar para contornar as medidas de defesa. Quando se trata de superar uma tentativa complexa de interrupção, uma solução em camadas proporcionará o melhor benefício.

Roteamento para um black hole

Uma solução disponível para praticamente todos os administradores de rede é criar uma rota tipo black hole e direcionar o tráfego para ela. Na sua forma mais simples, quando uma filtragem tipo black hole é implementada sem critérios de restrição específicos, tanto o tráfego de rede legítimo quanto o malicioso são roteados para uma rota nula, ou black hole, e retirados da rede.

Se um ativo da internet estiver enfrentando um ataque de DDoS, o ISP (provedor de serviços de internet) do ativo poderá enviar todo o tráfego do site para um black hole como uma forma de defesa. Não se trata de uma solução ideal, já que, efetivamente, confere ao invasor o objetivo desejado: tornar a rede inacessível.

Rate Limiting

A limitação do número de solicitações que um servidor aceitará por um período de tempo é outra forma de mitigar os ataques de negação de serviço.

---

Embora o Rate Limiting seja útil para reduzir a velocidade com que os "raspadores" da web roubam conteúdo e para mitigar as tentativas de login por força bruta, provavelmente seu uso será insuficiente para lidar de forma eficaz com um ataque de DDoS complexo.

No entanto, o Rate Limiting é um componente útil de uma estratégia eficaz de mitigação de DDoS. Saiba mais sobre o Rate Limiting da Cloudflare

Firewall de aplicativos web

O Firewall de Aplicativos Web (WAF) é uma ferramenta capaz de ajudar a mitigar o ataque de DDoS na camada 7. Ao ser posicionado entre a internet e o servidor de origem, um WAF poderá atuar como um proxy reverso e proteger o servidor alvo de determinados tipos de tráfego malicioso.

Ao filtrar as solicitações de acordo com uma série de regras usadas para identificar ferramentas de DDoS, os ataques na camada 7 podem ser impedidos. Um dos fatores de eficácia mais importantes de um WAF é sua capacidade de implementar rapidamente regras personalizadas em resposta a um ataque. Saiba mais sobre o WAF da Cloudflare.

Difusão de rede anycast

Essa abordagem de mitigação usa uma rede anycast para dispersar o tráfego do ataque por uma rede de servidores distribuídos até o ponto no qual o tráfego é absorvido pela rede.

Como canalizar um rio e dividi-lo em canais menores, essa abordagem espalha o impacto do tráfego do ataque distribuído até que ele se torne gerenciável, dissipando qualquer possibilidade de interrupção.

A confiabilidade de uma rede Anycast para mitigar um ataque de DDoS depende do tamanho do ataque e do tamanho e da eficiência da rede. Uma parte importante da mitigação de DDoS implementada pela Cloudflare é o uso de uma rede Anycast distribuída.

A Cloudflare tem uma rede de 142 Tbps, uma ordem de grandeza superior à do maior ataque de DDoS já registrado.

Se você estiver sob ataque, poderá tomar certas medidas para aliviar o impacto. Se você já for assinante da Cloudflare, siga estas etapas para mitigar o ataque.

A proteção contra DDoS que a Cloudflare implanta é multifacetada para mitigar os muitos vetores de ataque possíveis. Saiba mais sobre a proteção contra DDoS da Cloudflare e como ela funciona.