O que é DoS?
Para entender o que é um ataque DDoS, temos que entender o que é DoS. Sigla para Denial of Service (“negação de serviço”, em uma tradução livre), é usada para designar uma tentativa de romper um fluxo natural na rede entre um serviço, uma rede, um servidor web e o usuário.
Um cibercriminoso pode tentar atacar partes diferentes de um OSI (Open Systems Interconnection, “Interconexão de Sistemas Abertos”) para sobrecarregar uma rede e força-la a negar serviços e solicitações de usuários e consumidores legítimos.
É como um engarrafamento onde a rodovia principal fica congestionada por carros vazios, enquanto que veículos que realmente transportam pessoas não conseguem acesso a ela.
Antes, ataques de DoS eram feitos geralmente por um único criminoso. Hoje em dia, entretanto, com computadores, sistemas e servidores mais robustos e que comportam mais fluxo de pessoas, estes ataques são feitos por vários criminosos, simultaneamente. Desta evolução do DoS surgiram os ataques DDoS. Eles também fazem, cada vez mais, parte de táticas de guerra cibernética.
O que é um ataque DDoS e como ele funciona?
Um DDoS (Distributed Denial of Service, ou “ataque de negação de serviço distribuída”) é um tipo de ataque cujo objetivo é idêntico ao do DoS, ou seja, sobrecarregar uma rede, serviço, sistema ou servidor com tráfego artificial para congestionar estes serviços e negar solicitações de usuários legítimos.
O primeiro ataque do tipo ocorreu em 1974, por David Dennis, um estudante de 13 anos de Illinois que estudava programação na escola.
Os ataques DDoS são mais poderosos que os do tipo DoS, já que eles utilizam vários computadores e dispositivos simultaneamente. Um criminoso pode criar uma rede inteira infectando e invadindo diversos dispositivos, transformando-os em bots e controlando-os remotamente para direcionar o tráfego até um endereço de IP, tudo de uma só vez, o que causa um crash (quebra) no serviço, que fica indisponível para pessoas reais.
Ataques DDoS são difíceis de rastrear porque partem de múltiplas fontes. Seu próprio dispositivo pode ser parte de uma rede de bots que executam comandos maliciosos, isto tudo sem que você sequer saiba. Como o tráfego parte de dispositivos legítimos (mas infectados), fica difícil separar o que é uma solicitação legítima e o que é uma solicitação de um bot.
Os cibercriminosos contam com várias estratégias para infectar dispositivos e usá-los para a formação das botnets usadas para executar ataques de DDoS, como rootkit, por exemplo, que permite o controle do sistema e do dispositivo infectado, transformando-o em um ‘’zumbi’’.
Estes ataques podem ter como alvo componentes específicos de uma rede, ou vários elementos ao mesmo tempo. A maioria deles acontece contra três camadas de uma OSI:
- Network layer: é a camada de rede, contra a qual são feitos ataques que incluem congestionamento de ICMP, fragmentação de IP/ICMP e ataques do tipo Smurf.
- Transport layer: é a camada de transporte, e os ataques contra esta camada incluem congestionamentos de SYN e de TCP ou UDP, e exaustão da conexão.
- Application layer: é a camada de aplicativo/aplicação, e as ameaças contra ela incluem principalmente ataques criptografados contra o HTTP.
Tipos de ataque DDoS
Os ataques DDoS podem ser subdivididos em quatro grupos ou tipos principais:
Ataques por exploração de protocolo
O tipo mais comum desses ataques são os chamados ataques de flood SYN (também conhecidos como ataques por inundação SYN), que acontecem quando um handshake (“aperto de mão”, o processo de verificação entre o usuário e o servidor) entre o host e o servidor nunca é concluído, o que acaba causando a queda do serviço por sobrecarga.
Ataques volumétricos
São o tipo mais comum de ataque DDoS. Eles “simplesmente” consomem toda a banda disponível no alvo, causando sobrecarga por falta de recursos disponíveis. Em geral, são executados por botnets: os criminosos descobrem o endereço de IP das vítimas e, com eles, fazem múltiplas solicitações para um servidor DNS; quando o servidor DNS responde, ele envia mais fluxo de dados do que a vítima é capaz de suportar.
Ataques de fragmentação
Os criminosos enviam vários pacotes de dados que viajam separadamente e se organizam de acordo com o tipo de protocolo de transporte TCP ou UDP usado pelo servidor; o ataque fragmentado envia pacotes de dados falsos para distorcer o fluxo de informações e, assim, sobrecarregar o servidor.
Ataques de camada de aplicação
São realizados contra aplicações/aplicativos, ou seja, a camada dos servidores que gera as páginas web e responde às solicitações HTTP; é como se várias pessoas solicitassem refresh (recarga) da página simultaneamente, o que causa uma sobrecarga e acaba provocando a queda do website.
Tipos de ataques de amplificação de DDoS
Os ataques de amplificação de DDoS têm como alvo as vulnerabilidades de segurança de servidores DNS. Eles funcionam com a conversão de pequenas solicitações em outras maiores, amplificando seu efeito e assim, travando os processos das vítimas. Esses ataques são classificados em dois tipos: os de reflexo de DNS e o de reflexo de CharGEN.
Reflexo de DNS
Neste ataque, o criminoso cibernético copia o endereço IP da vítima e envia solicitações ao servidor DNS, pedindo respostas amplificadas. Quando essas chegam, podem estar até 70 vezes maiores que o tamanho normal, causando a sobrecarga imediata da vítima.
Reflexo de CharGEN
O CharGEN é um protocolo antigo que funciona apenas em alguns dispositivos, como algumas impressoras ou copiadoras conectadas à internet. Os hackers se aproveitam das fragilidades desse protocolo para enviar diversas solicitações por meio do IP da vítima, de modo que o dispositivo com CharGEN a inunde com respostas do tipo UDP (Protocolo de Datagrama do Usuário), sobrecarregando o servidor alvo e fazendo com que ele trave ou mesmo se reinicie.
Exemplo de ataques DDoS
Nos últimos anos, diversos serviços populares no Brasil e no mundo foram alvos de ataques DDoS, abaixo estão alguns exemplos:
- Amazon Web Services: em 2020, a plataforma de serviços de nuvem da Amazon foi atingida por um ataque de negação distribuída de serviço que durou três dias e teve um pico de 2,3 terabits por segundo.
- GitHub: em 2018, foi a vez da plataforma dedicada a desenvolvedores GitHub de ser alvejada por um ataque de DDoS que levou a um pico de 1,35 terabits por segundo. Felizmente, a duração foi de apenas 20 minutos.
- Google: em 2017, o serviço de nuvem do Google sofreu um mega ataque, cujo pico chegou a 2,5 terabits por segundo. Segundo informações da própria companhia, a onda de ataques durou cerca de seis meses.
- Miraidyn: em 2016, um ataque DDoS do Mirai botnet causou a interrupção de vários serviços populares, como HBO, Twitter, Reddit, Netflix e PayPal. É dito que o pico do ataque chegou a 1,5 terabits por segundo.
Ataques de DDoS em números
O maior ataque de negação de serviço já anunciado foi o sofrido pelo Google, em 2017. O pico alcançou os 2,5 terabits por segundo. A duração também foi recorde: segundo a companhia, foram 6 meses de ataques múltiplos. De acordo com um relatório pela Corero Network Security, os danos causados por um ataque DDoS podem levar a prejuízos que surpassam 50 mil dólares por ataque.
O DDoS é ilegal?
Na maioria dos países, o DDoS é uma prática ilegal. Nos Estados Unidos, por exemplo, ele pode ser considerado como um crime federal passível de penas que incluem prisão.
Na maior parte dos países europeus, quem pratica DDoS pode ser preso – no Reino Unido, isto pode resultar em penas de até 10 anos de prisão.
No Brasil, no entanto, a questão ainda é nebulosa, não havendo nenhuma lei que diz categoricamente que a prática é um crime.
Como identificar um ataque de DDoS?
Entre os sinais de um ataque DDoS, o mais clássico é a lentidão ou indisponibilidade de um site ou serviço. Mas como esse sintoma não é exclusivo (fatores como a largura de banda e outros também podem afetar esse aspecto), é necessário averiguar outros problemas adicionais, como:
- Um número incomumente grande de tráfego vindo de um único endereço IP;
- Um tráfego intenso proveniente de usuários que possuem perfis semelhantes de comportamento, isto é, mesmo tipo de dispositivo, localização e/ou navegador;
- Um crescimento suspeito de solicitação de um mesmo site;
- Picos de tráfego pouco convencionais, indicativos de comportamentos artificiais.
Como prevenir um ataque de DDoS?
Para se prevenir de um ataque de DDoS, é importante:
- Conhecer seu tráfego de rede: é importante ter conhecimento sobre os seus padrões de tráfego e acesso, só assim será possível detectar quando algo está fora do normal e agir a tempo.
- Investir na segurança da rede: quanto mais resiliente for sua infraestrutura, menor a chance de um ataque de DDoS ter sucesso contra sua rede. Divida seus centros de dados entre diferentes redes, e invista em firewalls e sistemas de detecção de intrusão para garantir proteção máxima.
- Manter seus sistemas atualizados. A prevenção de ataques DDoS envolve não apenas proteger seu tráfego de rede e infraestrutura, mas também garantir que todas as vulnerabilidades conhecidas, como o EternalBlue, sejam corrigidas. Isso porque essas fragilidades podem ser usadas para sequestrar dispositivos e transformá-los em ferramentas para ataques DDoS em larga escala, então a atualização regular dos dispositivos é essencial. (Explore insights detalhados sobre EternalBlue e estratégias preventivas).
- Ter boa higiene cibernética: as boas práticas na rede são sempre necessárias contra ataques virtuais. Mudar suas senhas com frequência, garantir práticas de autenticação seguras, e saber como evitar ataques de phishing são apenas alguns dos procedimentos básicos de todo usuário.
- Aproveitar de ferramentas anti-ataque de DDoS: no mercado há vários produtos que podem ser usados para repelir ou mitigar os efeitos de investidas contra certos protocolos e aplicativos. Um bom exemplo são alguns servidores VPS que são localizados dentro de redes ou data centers resistentes a ataques de DDoS. É uma boa ideia ter alguns desses em mãos para se proteger contra as técnicas mais comuns desses ataques.
Uma VPN pode ajudar a evitar ataques DDoS?
Geralmente, o DDoS é feito para chantagear desenvolvedores, empresas e outros grupos para danificar a reputação deles diante do público consumidor. Mas pessoas, individualmente, também podem sofrer com estes ataques, como o que acontece contra jogos online.
Não tem como se proteger totalmente contra um ataque DDoS mas, para jogos P2P, por exemplo, onde você se conecta diretamente com outros oponentes, o criminoso pode tentar descobrir seu endereço IP para praticar um ataque contra você.
Ao usar uma boa VPN, você pode alterar seu endereço IP para um servidor de outra parte do mundo e, assim, mascarar seu IP verdadeiro – o que impede o ataque DoS contra você.
Você pode baixar o aplicativo NordVPN e usufruir do melhor dos nossos serviços, como criptografia adicional e um nível de privacidade melhor para sua conexão, além da exclusiva funcionalidade Proteção contra vírus e ameaças que, além de prevenir que seus dispositivos sejam usados como um bot para ataques de DDoS, ainda garante a sua segurança contra as demais ameaças da redes.
A NordVPN ajuda-o a proteger o tráfego de dados dos seus dispositivos com uma encriptação robusta. Proteja-se de curiosos com uma VPN.