Negação de Serviço Distribuído (DDoS)

O que é um ataque DDoS?

Um ataque de negação de serviço distribuído (DDoS) é uma tentativa maliciosa de interromper o tráfego normal de um servidor, serviço ou rede de destino, sobrecarregando o destino ou sua infraestrutura circundante com um grande fluxo de tráfego da Internet. Os ataques DDoS atingem a eficácia utilizando vários sistemas de computador comprometidos como fontes de tráfego de ataque. As máquinas exploradas podem incluir computadores e outros recursos de rede, tais como dispositivos IoT. A partir de um alto nível, um ataque DDoS é como um engarrafamento, obstruindo uma rodovia, impedindo o tráfego regular de chegar ao destino desejado.

Como funciona um ataque DDoS?

Um ataque DDoS requer que um invasor assuma o controle de uma rede de máquinas on-line para realizar um ataque. Computadores e outras máquinas (tais como dispositivos IoT) são infectados com malware, transformando cada um em um robô (ou zumbi). O invasor tem, então, controle remoto sobre o grupo de robôs, que é chamado de botnet.

Quando um botnet tiver sido estabelecido, o invasor poderá direcionar as máquinas, enviando instruções atualizadas a cada robô por meio de um método de controle remoto. Quando o endereço IP de uma vítima se torna o alvo do botnet, cada robô responderá enviando solicitações para o alvo, potencialmente fazendo o servidor ou rede alvejada estourar a capacidade, resultando em uma negação de serviço ao tráfego normal. Como cada robô é um legítimo dispositivo de Internet, pode ser difícil separar o tráfego de ataque do tráfego normal.

Quais são os tipos comuns de ataques DDoS?

Diferentes vetores de ataque DDoS miram componentes variados de uma conexão de rede. Para entender como funcionam os diferentes ataques DDoS, é preciso saber como é feita uma conexão de rede. Uma conexão de rede na Internet é composta de muitos componentes ou “camadas” diferentes. Semelhante à construção de uma casa desde o alicerce, cada etapa no modelo tem um propósito diferente. O modelo OSI é uma estrutura conceitual usada para descrever a conectividade de rede em sete camadas distintas.

Qual é o processo para mitigar um ataque DDoS?

Saiba mais sobre o DDoS

Embora quase todos os ataques DDoS envolvam sobrecarregar um dispositivo ou rede-alvo com tráfego, os ataques podem ser divididos em três categorias. Um invasor pode fazer uso de um ou vários vetores de ataque diferentes ou vetores de ataque de ciclo, potencialmente baseados em contramedidas tomadas pelo alvo.

Na Internet moderna, o tráfego de DDoS vem em muitas formas. O tráfego pode variar em design, de ataques não falsos, de fonte única, a ataques multivetoriais complexos e adaptáveis. Um ataque DDoS multivetorial usa várias vias de ataque para sobrecarregar um alvo de diferentes maneiras, potencialmente desviando esforços de mitigação em qualquer trajetória. Um ataque que tem como alvo várias camadas da pilha de protocolo ao mesmo tempo, como uma ampliação de DNS (alvejando as Camadas 3 e 4), juntamente com uma sobrecarga de HTTP (alvejando a Camada 7) é um exemplo de DDoS multivetorial.

A mitigação de um ataque DDoS multivetorial requer uma variedade de estratégias para neutralizar diferentes trajetórias. De um modo geral, quanto mais complexo for o ataque, maior será a probabilidade de ser difícil separar o tráfego do tráfego normal. O objetivo do invasor é se “infiltrar” o máximo possível, tornando a mitigação tão ineficiente quanto possível. As tentativas de mitigação que envolvem a eliminação ou limitação indiscriminada do tráfego podem descartar o tráfego bom junto com o ruim, e o ataque também pode ser modificado e se adaptar para escapar das contramedidas. Para superar uma tentativa complexa de disrupção, uma solução em camadas trará a maior vantagem.

Firewall do aplicativo da web (WAF)

O que é um firewall do aplicativo da web?

Um firewall do aplicativo da web (WAF) ajuda a proteger aplicativos da web, filtrando e monitorando o tráfego HTTP entre um aplicativo da web e a Internet. Ele geralmente protege aplicativos da web de ataques, como cross-site forgery, cross-site-scripting (XSS), inclusão de arquivo e injeção de SQL, entre outros. Um WAF é uma defesa de Camada 7 de protocolo (no modelo OSI), e não foi desenvolvido para se defender de todos os tipos de ataques. Este método de mitigação de ataque geralmente é parte de um conjunto de ferramentas que, juntas, criam uma defesa abrangente contra uma série de vetores de ataque.

Implementando um WAF na frente de um aplicativo da web, é colocada uma blindagem entre o aplicativo da web e a Internet. Enquanto um servidor proxy protege a identidade de uma máquina do cliente usando um intermediário, um WAF é um tipo de proxy reverso, que protege o servidor da exposição, fazendo os clientes passarem pelo WAF antes de chegarem ao servidor.

Um WAF opera através de um conjunto de regras frequentemente chamadas de políticas. Essas políticas visam proteger contra vulnerabilidades dentro do aplicativo, filtrando o tráfego malicioso. O valor de um WAF vem em parte da velocidade e facilidade com que a modificação de política pode ser implementada, permitindo uma resposta mais rápida a vetores de ataque variados; durante um ataque DDoS, a limitação da taxa pode ser implementada rapidamente, modificando as políticas do WAF.

Qual é a diferença entre WAFs de lista de bloqueio e de lista de desbloqueio?

Saiba mais sobre o WAF

Um WAF que opera com base em uma lista de bloqueio (modelo de segurança negativo) protege contra ataques conhecidos. Imagine um WAF de lista de bloqueio como um segurança de um clube, instruído a não deixar entrar nenhum convidado que não esteja usando o traje adequado. Inversamente, um WAF baseado em uma lista de desbloqueio (modelo de segurança positivo) admite apenas o tráfego pré-aprovado. Isso é igual ao segurança em uma festa exclusiva; ele só deixa entrar as pessoas que estão na lista. As listas de bloqueio e as listas de desbloqueio têm suas vantagens e desvantagens, e é por isso que muitos WAFs oferecem um modelo híbrido de segurança, que implementa ambas as listas.

Rede de entrega de conteúdo (CDN)

O que é uma rede de entrega de conteúdo?

Uma rede de entrega de conteúdo (CDN) refere-se a um grupo de servidores distribuídos geograficamente, que trabalham juntos para fornecer a entrega rápida do conteúdo da Internet. Uma CDN permite a transferência rápida de ativos necessários para carregar o conteúdo da Internet, incluindo páginas HTML, arquivos JavaScript, folhas de estilo, imagens e vídeos. A popularidade dos serviços da CDN continua crescendo, e hoje a maioria do tráfego da web é entregue através de CDNs.

Como funciona uma CDN?

Em seu núcleo, uma CDN é uma rede de servidores vinculados com o objetivo de entregar conteúdo da forma mais rápida, barata, confiável e segura possível. A fim de melhorar a velocidade e a conectividade, uma CDN colocará servidores nos pontos de troca entre redes diferentes. Esses pontos de troca da Internet (IXPs) são as localizações principais em que diferentes provedores de Internet se conectam para oferecer uns aos outros acesso ao tráfego proveniente de suas diferentes redes. Ao ter uma conexão com esses locais de alta velocidade e altamente interconectados, um provedor CDN é capaz de reduzir custos e tempos de trânsito em entrega de dados de alta velocidade.

Como uma CDN melhora os tempos de carregamento do website?

Saiba mais sobre o CDN

Quando se trata de websites que carregam conteúdo, os usuários saem rapidamente assim que um site fica lento. A natureza distribuída globalmente de uma CDN significa uma distância reduzida entre os usuários e os recursos do website. Em vez de ter que se conectar a qualquer lugar em que um servidor de origem do website possa residir, uma CDN permite que os usuários se conectem a um data center geograficamente mais próximo. Menos tempo de viagem significa um serviço mais rápido.

Sistema de Nomes de Domínio (DNS)

O que é DNS?

O Sistema de Nomes de Domínio (DNS) é a lista telefônica da Internet. As pessoas acessam informações on-line por meio de nomes de domínio, como nytimes.com ou espn.com. Os navegadores da web interagem por meio de endereços de Protocolo da Internet (IP). O DNS converte os nomes de domínios em endereços IP para que os navegadores possam carregar recursos da Internet.

Cada dispositivo conectado à Internet tem um endereço IP exclusivo, que outras máquinas usam para localizar o dispositivo. Os servidores DNS eliminam a necessidade de memorizar endereços IP, como 192.168.1.1 (em IPv4) ou endereços IP alfanuméricos mais recentes e mais complexos, como 2400:cb00:2048:1:c629:d7a2 (em IPv6).

Como funciona o DNS?

O processo de resolução de DNS envolve a conversão de um nome de host (como www.ibm.com) em um endereço IP legível por computador (como 192.168.1.1). Um endereço IP é fornecido a cada dispositivo na Internet, e esse endereço é necessário para localizar o dispositivo de Internet apropriado, assim como um endereço de rua é usado para localizar uma residência específica. Quando um usuário deseja carregar uma página da web, deve ocorrer uma conversão entre o que um usuário digita em seu navegador da web (example.com) e o endereço compatível com a máquina necessário para localizar a página da web example.com.

Para entender o processo por trás da resolução de DNS, é importante aprender sobre os diferentes componentes de hardware entre os quais uma consulta de DNS deve passar. Para o navegador da web, a consulta de DNS ocorre “nos bastidores” e não requer nenhuma interação do computador do usuário, além da solicitação inicial.

O que é um resolvedor de DNS?

Saiba mais sobre o DNS

O resolvedor de DNS é a primeira parada na consulta de DNS e é responsável por lidar com o cliente que fez a solicitação inicial. O resolvedor inicia a sequência de consultas que, por fim, leva à conversão de uma URL para o endereço IP necessário.

Nota: Uma típica consulta de DNS não armazenada em cache envolverá consultas recursivas e iterativas.

É importante diferenciar entre uma consulta de DNS recursiva e um resolvedor de DNS recursivo. A consulta refere-se à solicitação feita a um resolvedor de DNS que requer a resolução da consulta. Um resolvedor recursivo de DNS é o computador que aceita uma consulta recursiva e processa a resposta fazendo as solicitações necessárias.

Comece a usar

Pronto para começar?Com nosso portal e a API, uma Internet mais rápida e mais segura está apenas a alguns cliques de distância.