Imagine que 20 consumidores visitam sua loja virtual. Isto é ótimo, não é? Agora, imagine milhares de visitantes usando seu sistema simultaneamente, sem comprar absolutamente nada, bloqueando o fluxo de consumidores reais. Isto é um pesadelo e este pesadelo tem nome: é um ataque DDoS (que não é a única ameaça contra seu website, já que as injeções SQL também são muito preocupantes). Neste artigo, você vai aprender mais sobre este tipo de ataque, como ele funciona e como se proteger contra ele.
Tabela de Conteúdo
Para entender o que é um ataque DDoS, temos que entender o que é DoS. Sigla para Denial of Service (“negação de serviço”, em uma tradução livre), é usada para designar uma tentativa de romper um fluxo natural na rede entre um serviço, uma rede, um servidor web e o usuário.
Um cibercriminoso pode tentar atacar partes diferentes de um OSI (Open Systems Interconnection, “Interconexão de Sistemas Abertos”) para sobrecarregar uma rede e força-la a negar serviços e solicitações de usuários e consumidores legítimos.
É como um engarrafamento onde a rodovia principal fica congestionada por carros vazios, enquanto que veículos que realmente transportam pessoas não conseguem acesso a ela.
Antes, ataques de DoS eram feitos geralmente por um único criminoso. Hoje em dia, entretanto, com computadores, sistemas e servidores mais robustos e que comportam mais fluxo de pessoas, estes ataques são feitos por vários criminosos, simultaneamente. Desta evolução do DoS surgiram os ataques DDoS. Eles também fazem, cada vez mais, parte de táticas de guerra cibernética.
Um DDoS (Distributed Denial of Service, ou “ataque de negação de serviço distribuída”) é um tipo de ataque cujo objetivo é idêntico ao do DoS, ou seja, sobrecarregar uma rede, serviço, sistema ou servidor com tráfego artificial para congestionar estes serviços e negar solicitações de usuários legítimos.
O primeiro ataque do tipo ocorreu em 1974, por David Dennis, um estudante de 13 anos de Illinois que estudava programação na escola.
Os ataques DDoS são mais poderosos que os do tipo DoS, já que eles utilizam vários computadores e dispositivos simultaneamente. Um criminoso pode criar uma rede inteira infectando e invadindo diversos dispositivos, transformando-os em bots e controlando-os remotamente para direcionar o tráfego até um endereço de IP, tudo de uma só vez, o que causa um crash (quebra) no serviço, que fica indisponível para pessoas reais.
Ataques DDoS são difíceis de rastrear porque partem de múltiplas fontes. Seu próprio dispositivo pode ser parte de uma rede de bots que executam comandos maliciosos, isto tudo sem que você sequer saiba. Como o tráfego parte de dispositivos legítimos (mas infectados), fica difícil separar o que é uma solicitação legítima e o que é uma solicitação de um bot.
Estes ataques podem ter como alvo componentes específicos de uma rede, ou vários elementos ao mesmo tempo. A maioria deles acontece contra três camadas de uma OSI:
Os ataques DDoS podem ser subdivididos em quatro grupos ou tipos principais:
O tipo mais comum desses ataques são os chamados ataques de flood SYN (também conhecidos como ataques por inundação SYN), que acontecem quando um handshake (“aperto de mão”, o processo de verificação entre o usuário e o servidor) entre o host e o servidor nunca é concluído, o que acaba causando a queda do serviço por sobrecarga.
São o tipo mais comum de ataque DDoS. Eles “simplesmente” consomem toda a banda disponível no alvo, causando sobrecarga por falta de recursos disponíveis. Em geral, são executados por botnets: os criminosos descobrem o endereço de IP das vítimas e, com eles, fazem múltiplas solicitações para um servidor DNS; quando o servidor DNS responde, ele envia mais fluxo de dados do que a vítima é capaz de suportar.
Os criminosos enviam vários pacotes de dados que viajam separadamente e se organizam de acordo com o tipo de protocolo de transporte TCP ou UDP usado pelo servidor; o ataque fragmentado envia pacotes de dados falsos para distorcer o fluxo de informações e, assim, sobrecarregar o servidor.
São realizados contra aplicações/aplicativos, ou seja, a camada dos servidores que gera as páginas web e responde às solicitações HTTP; é como se várias pessoas solicitassem refresh (recarga) da página simultaneamente, o que causa uma sobrecarga e acaba provocando a queda do website.
Os ataques de amplificação de DDoS têm como alvo as vulnerabilidades de segurança de servidores DNS. Eles funcionam com a conversão de pequenas solicitações em outras maiores, amplificando seu efeito e assim, travando os processos das vítimas. Esses ataques são classificados em dois tipos: os de reflexo de DNS e o de reflexo de CharGEN.
Neste ataque, o criminoso cibernético copia o endereço IP da vítima e envia solicitações ao servidor DNS, pedindo respostas amplificadas. Quando essas chegam, podem estar até 70 vezes maiores que o tamanho normal, causando a sobrecarga imediata da vítima.
O CharGEN é um protocolo antigo que funciona apenas em alguns dispositivos, como algumas impressoras ou copiadoras conectadas à internet. Os hackers se aproveitam das fragilidades desse protocolo para enviar diversas solicitações por meio do IP da vítima, de modo que o dispositivo com CharGEN a inunde com respostas do tipo UDP (Protocolo de Datagrama do Usuário), sobrecarregando o servidor alvo e fazendo com que ele trave ou mesmo se reinicie.
Nos últimos anos, diversos serviços populares no Brasil e no mundo foram alvos de ataques DDoS, abaixo estão alguns exemplos:
O maior ataque de negação de serviço já anunciado foi o sofrido pelo Google, em 2017. O pico alcançou os 2,5 terabits por segundo. A duração também foi recorde: segundo a companhia, foram 6 meses de ataques múltiplos. De acordo com um relatório pela Corero Network Security, os danos causados por um ataque DDoS podem levar a prejuízos que surpassam 50 mil dólares por ataque.
Na maioria dos países, o DDoS é uma prática ilegal. Nos Estados Unidos, por exemplo, ele pode ser considerado como um crime federal passível de penas que incluem prisão.
Na maior parte dos países europeus, quem pratica DDoS pode ser preso – no Reino Unido, isto pode resultar em penas de até 10 anos de prisão.
No Brasil, no entanto, a questão ainda é nebulosa, não havendo nenhuma lei que diz categoricamente que a prática é um crime.
Entre os sinais de um ataque DDoS, o mais clássico é a lentidão ou indisponibilidade de um site ou serviço. Mas como esse sintoma não é exclusivo (fatores como a largura de banda e outros também podem afetar esse aspecto), é necessário averiguar outros problemas adicionais, como:
Para se prevenir de um ataque de DDoS, é importante:
Geralmente, o DDoS é feito para chantagear desenvolvedores, empresas e outros grupos para danificar a reputação deles diante do público consumidor. Mas pessoas, individualmente, também podem sofrer com estes ataques, como o que acontece contra jogos online.
Não tem como se proteger totalmente contra um ataque DDoS mas, para jogos P2P, por exemplo, onde você se conecta diretamente com outros oponentes, o criminoso pode tentar descobrir seu endereço IP para praticar um ataque contra você.
Ao usar uma boa VPN, você pode alterar seu endereço IP para um servidor de outra parte do mundo e, assim, mascarar seu IP verdadeiro – o que impede o ataque DoS contra você.
Você pode baixar o aplicativo NordVPN e usufruir do melhor dos nossos serviços, como criptografia adicional e um nível de privacidade melhor para sua conexão, além da exclusiva funcionalidade Proteção contra vírus e ameaças que, além de prevenir que seus dispositivos sejam usados como um bot para ataques de DDoS, ainda garante a sua segurança contra as demais ameaças da redes.
A NordVPN ajuda-o a proteger o tráfego de dados dos seus dispositivos com uma encriptação robusta. Proteja-se de curiosos com uma VPN.
Assine a NordVPN