O que é um ataque distributed denial-of-service (DDoS)?

Os ataques DDoS são maneiras de deixar serviços e recursos online indisponíveis, sobrecarregando-os com tráfico malicioso. A sobrecarga é gerada por solicitações de conexões inúteis, pacotes falsos ou outro tráfego malicioso. A grande quantidade de tráfico não legítimo causa desde lentidão até travamento completo dos sistemas, gerando indisponibilidade de serviços.

Os ataques DDoS fazem parte da categoria mais ampla, ataques de negação de serviço (ataques DDoS), que inclui todos os cyberattacks que retardam ou interrompem aplicativos, ou serviços de rede. Os ataques DDoS são únicos, pois enviam tráfego de ataque de várias fontes ao mesmo tempo, o que coloca o "distribuído" em "negação de serviço distribuída".

Os ataques DDoS fazem parte da categoria mais ampla, ataques de denial-of-service (ataques DDoS), que inclui todos os ciberataques que retardam ou interrompem aplicações ou serviços de rede. Os ataques DDoS são únicos, pois enviam tráfego de ataque de várias fontes ao mesmo tempo, o que coloca o "distribuído" ("distributed") em "distributed denial-of-service".

Os cibercriminosos usam ataques DDoS para interromper as operações de rede há mais de 20 anos, mas recentemente sua frequência e potência aumentaram. De acordo com um relatório, os ataques DDoS aumentaram 203% no primeiro semestre de 2022, em comparação ao mesmo período de 2021.

Ao contrário de outros ataques cibernéticos, os ataques DDoS não exploram vulnerabilidades nos recursos da rede para violar sistemas de computador. Em vez disso, utilizam protocolos de conexão de rede padrão, como o Hypertext Transfer Protocol (HTTP) e o Transmission Control Protocol (TCP), para inundar endpoints, aplicativos e outros ativos com mais tráfego do que conseguem suportar. Servidores web, roteadores e outras infraestruturas de rede conseguem processar somente um número finito de solicitações e manter um número limitado de conexões em um dado momento. Esgotando a largura de banda disponível de um recurso, os ataques DDoS impedem que esses recursos respondam a solicitações e pacotes de conexão legítimos.

Em termos gerais, um ataque de DDoS tem três estágios.

A escolha do alvo de ataque DDoS decorre da motivação do atacante, que pode variar amplamente. Hackers usaram ataques DDoS para extorquir dinheiro de organizações, exigindo um resgate para acabar com o ataque. Alguns hackers usam DDoS para ativismo, visando organizações e instituições das quais discordam. Agentes inescrupulosos se utilizaram de ataques DDoS para derrubar empresas concorrentes, e alguns estados-nação usaram táticas DDoS na guerra cibernética.

Alguns dos alvos de ataque DDoS mais comuns são:

• Varejistas on-line. Os ataques DDoS podem causar danos financeiros significativos aos varejistas quando derrubam suas lojas digitais, impossibilitando que os clientes comprem por um período.
  
  

• Provedores de serviços de nuvem. Os provedores de serviços de nuvem, como Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform, são alvos populares de ataques DDoS. Como esses serviços hospedam dados e aplicativos para outras empresas, os hackers podem causar interrupções generalizadas com um único ataque. Em 2020, a AWS foi atingida com um ataque DDoS maciço. Em seu pico, o tráfego malicioso disparou 2,3 terabits por segundo.
  
  

• Instituições financeiras. Ataques DDoS podem deixar os serviços bancários offline, impedindo que os clientes acessem suas contas. Em 2012, seis dos principais bancos dos EUA foram atingidos por ataques DDoS coordenados, o que pode ter sido um ato com motivações políticas.
  
  

• Provedores de software como serviço (SaaS). Assim como acontece com os provedores de serviços de nuvem, provedores de SaaS como Salesforce, GitHub e Oracle são alvos atraentes porque possibilitam que os hackers interrompam várias organizações ao mesmo tempo. Em 2018, o GitHub sofreu o que foi, na época, o maior ataque DDoS já registrado.
  
  

• Empresas de jogos. Os ataques DDoS podem interromper jogos online, ao inundar seus servidores com tráfego. Esses ataques são frequentemente lançados por jogadores descontentes com vinganças pessoais, como foi o caso do botnet Mirai, que foi originalmente construído para atingir os servidores do Minecraft.

Um ataque DDoS geralmente exige uma botnet, uma rede de dispositivos conectados à internet infectados com malware que permite que hackers controlem os dispositivos remotamente. As botnets podem incluir notebooks e desktops, telefones celulares, dispositivos de IoT e outros endpoints comerciais ou de consumo. Os proprietários desses dispositivos comprometidos geralmente não sabem que foram infectados ou que estão sendo usados para um ataque DDoS.

Alguns criminosos cibernéticos criam seus botnets do zero, enquanto outros compram ou alugam botnets predefinidos sob um modelo conhecido como "denial-of-service como serviço".

(OBSERVAÇÃO: nem todos os ataques DDoS utilizam botnets; alguns exploram as operações normais de dispositivos não infectados para fins maliciosos. Veja 'Ataques Smurf' abaixo.)

Os hackers comandam os dispositivos da botnet para enviar solicitações de conexão ou outros pacotes para o endereço IP do servidor, dispositivo ou serviço de destino. A maioria dos ataques DDoS depende de força bruta, enviando um grande número de solicitações para consumir toda a largura de banda do alvo; alguns ataques DDoS enviam um número menor de solicitações mais complicadas, que exigem que o alvo consuma muitos recursos para responder. Em ambos os casos, o resultado é o mesmo: o tráfego de ataque sobrecarrega o sistema alvo, causando um denial-of-service e impedindo que o tráfego legítimo acesse o site, aplicação da web, API ou rede.

Os hackers geralmente camuflam a origem de seus ataques por meio da falsificação de IP, uma técnica pela qual os cibercriminosos falsificam os endereços IP de origem dos pacotes enviados pela botnet. Em uma forma de falsificação de IP, chamada de “reflexão”, os hackers fazem com que o tráfego malicioso pareça ter sido enviado a partir do próprio endereço IP da vítima.

Os tipos de ataques DDoS são frequentemente denominados ou descritos com base na terminologia do modelo de referência de Open Systems Interconnection (OSI), um framework conceitual que define sete "camadas" de rede (e às vezes é chamado de modelo de sete camadas de OSI).

Como o nome sugere, os ataques na camada de aplicativo têm como alvo a camada de aplicativos (camada 7) do modelo OSI, a camada na qual as páginas da web são geradas em resposta às solicitações do usuário. Os ataques na camada de aplicativos interrompem os aplicativos da web inundando-os com solicitações maliciosas.

Um dos ataques à camada de aplicações mais comuns é o ataque de inundação de HTTP, no qual um invasor envia continuamente um grande número de solicitações de HTTP de vários dispositivos para o mesmo site da web. O site não consegue acompanhar todas as solicitações de HTTP e fica mais lento ou trava completamente. Os ataques de inundação de HTTP são semelhantes a centenas ou milhares de navegadores da web que atualizam repetidamente a mesma página da web.

Os ataques à camada de aplicações são relativamente fáceis de iniciar, mas podem ser difíceis de impedir e mitigar. À medida que mais empresas fazem a transição para o uso de microsserviços e aplicações baseadas em contêineres, aumenta o risco de ataques à camada de aplicações desabilitando serviços críticos da web e da nuvem.

Os ataques de protocolo têm como alvo a camada de rede (camada 3) e a camada de transporte (camada 4) do modelo OSI. Eles visam sobrecarregar os recursos críticos de rede, como firewalls, balanceadores de carga e servidores web, com solicitações de conexão maliciosas.

Ataques comuns de protocolo incluem:

Ataques de inundação SYN. Um ataque de inundação SYN aproveita a handshake de TCP, o processo pelo qual dois dispositivos estabelecem uma conexão entre si.

Em um handshake TCP típico, um dispositivo envia um pacote SYN para iniciar a conexão, o outro responde com um pacote SYN/ACK para reconhecer a solicitação e o dispositivo original envia de volta um pacote ACK para finalizar a conexão.

Em um ataque de inundação SYN, o invasor envia ao servidor de destino um grande número de pacotes SYN com endereços IP de origem falsificados. O servidor envia sua resposta ao endereço IP falsificado e aguarda o pacote ACK final. Como o endereço IP de origem foi falsificado, esses pacotes nunca chegam. O servidor fica preso a um grande número de conexões incompletas, deixando-o indisponível para handshakes TCP legítimos.

Ataques Smurf. Um ataque Smurf utiliza o Internet Control Message Protocol (ICMP), protocolo de comunicação utilizado para avaliar o status de uma conexão entre dois dispositivos. Em uma troca ICMP típica, um dispositivo envia uma solicitação de repetição ICMP para outro e este último dispositivo responde com um eco ICMP.

Em um ataque smurf, o invasor envia uma solicitação de eco ICMP de um endereço IP falsificado que corresponde ao endereço IP da vítima. Essa solicitação de eco ICMP é enviada a uma rede de transmissão IP, que encaminha a solicitação a todos os dispositivos de uma determinada rede. Todos os dispositivos que recebem a solicitação de eco ICMP, possivelmente centenas ou milhares de dispositivos, respondem enviando uma resposta de eco ICMP de volta ao endereço IP da vítima, inundando o dispositivo com mais informações do que ele é capaz de processar. Assim como muitos outros tipos de ataques DDoS, os ataques smurf não necessariamente requerem uma botnet.

Os ataques DDoS volumétricos consomem toda a largura de banda disponível em uma rede de destino ou entre um serviço de destino e o resto da internet, dessa forma impedindo que usuários legítimos se conectem aos recursos da rede. Ataques volumétricos muitas vezes inundam redes e recursos com quantidades muito altas de tráfego, mesmo em comparação com outros tipos de ataques DDoS. Os ataques volumétricos ficaram conhecidos por sobrecarregarem as medidas de proteção contra DDoS, como os centros de limpeza, que são projetados para filtrar tráfego malicioso de tráfego legítimo.

Os tipos comuns de ataques volumétricos são:

Inundações UDP. Esses ataques enviam pacotes UDP (User Datagram Protocol) falsos para as portas de um host de destino, fazendo com que o host procure um aplicativo para receber esses pacotes. Como os pacotes UDP são falsos, não há nenhum aplicativo para recebê-los, e o host deve enviar uma mensagem ICMP "Destination Unreachable" de volta ao remetente. Os recursos do host ficam sobrecarregados para responder ao fluxo constante de pacotes UDP falsos, deixando o host indisponível para responder a pacotes legítimos.

Inundações ICMP. Também chamados de "ataques de inundação de pings", esses ataques bombardeiam alvos com solicitações de eco ICMP de vários endereços IP falsificados. O servidor alvo deve responder a todas essas solicitações e fica sobrecarregado, não conseguindo processar solicitações de eco ICMP válidas. As inundações ICMP são diferentes dos ataques smurf porque os invasores enviam um grande número de solicitações ICMP de suas botnets em vez de enganarem dispositivos de rede para enviarem respostas ICMP para o endereço IP da vítima.

Ataques de ampliação de DNS. Aqui, o invasor envia várias solicitações de pesquisa de Domain Name System (DNS) para um ou vários servidores DNS públicos. Essas solicitações de pesquisa usam um endereço IP falsificado pertencente à vítima e pedem aos servidores DNS para retornar uma grande quantidade de informações por solicitação. O servidor DNS responde às solicitações inundando o endereço IP da vítima com grandes quantidades de dados.

Como o nome indica, os ataques multivetoriais exploram vários vetores de ataque, para maximizar os danos e frustrar os esforços de mitigação de DDoS. Os invasores podem usar vários vetores simultaneamente ou alternar entre os vetores durante o ataque, quando um vetor é frustrado. Por exemplo, os hackers podem começar com um ataque smurf mas, após o tráfego de dispositivos de rede ser desligado, podem iniciar uma inundação UDP a partir de sua botnet.

As ameaças DDoS também podem ser usadas combinadas com outros ciberataques. Por exemplo, os invasores de ransomware podem pressionar suas vítimas ameaçando executar um ataque DDoS se o resgate não for pago.

Os ataques DDoS persistiram por tanto tempo e se tornaram cada vez mais populares com criminosos cibernéticos ao longo do tempo, porque

• Exigem pouca ou nenhuma habilidade para serem executados. Ao contratar botnets prontas de outros hackers, os cibercriminosos podem facilmente lançar ataques DDoS por conta própria, com pouca preparação ou planejamento.
  
  
• São difíceis de detectar. Como os botnets são compostos em grande parte por dispositivos comerciais e de consumidores, pode ser difícil para as organizações separar o tráfego mal-intencionado dos usuários reais. Além disso, os sintomas dos ataques DDoS, serviço lento e sites e aplicativos temporariamente indisponíveis, também podem ser causados por picos repentinos no tráfego legítimo, dificultando a detecção de ataques DDoS em seus estágios iniciais.
  
  
• São difíceis de mitigar. Uma vez identificado um ataque DDoS, a natureza distribuída do ciberataque significa que as organizações não podem simplesmente bloquear o ataque desabilitando uma única fonte de tráfego. Os controles padrão de segurança de rede destinados a impedir ataques DDoS, como a limitação de taxa, também podem retardar as operações de usuários legítimos.
  
  
• Nunca houve tantos dispositivos de botnets em potencial. A ascensão da Internet das Coisas (IoT) deu aos hackers uma rica fonte de dispositivos para serem transformados em bots. Eletrodomésticos, ferramentas e gadgets, incluindo tecnologia operacional (OT), como dispositivos de saúde e sistemas de fabricação, geralmente são vendidos e operados com padrões universais e controles de segurança fracos ou inexistentes, tornando-os particularmente vulneráveis à infecção por malware. Pode ser difícil para os proprietários desses dispositivos perceberem que eles foram comprometidos, já que os dispositivos IoT e OT são frequentemente usados de forma passiva ou com pouca frequência.

Os ataques DDoS estão se tornando mais sofisticados à medida que os hackers adotam ferramentas de inteligência artificial (IA) e aprendizado de máquina (ML) para ajudar a direcionar seus ataques. Isso levou a um aumento nos ataques DDoS adaptativos, que usam IA e ML para encontrar os aspectos mais vulneráveis dos sistemas e mudar automaticamente os vetores de ataques e estratégias em resposta aos esforços de mitigação de DDoS de uma equipe de cibersegurança.

O objetivo de um ataque DDoS é interromper as operações do sistema, o que pode gerar altos custos para as organizações. De acordo com o relatório do custo das violações de dados de 2022 da IBM, interrupções de serviço, downtime do sistema e outras interrupções de negócios causadas por ciberataques custam às organizações, em média, US$ 1,42 milhão. Em 2021, um ataque DDoS custou a um provedor de VoIP quase US$ 12 milhões.

O maior ataque DDoS já registrado, que gerou 3,47 terabits de tráfego malicioso por segundo, teve como alvo um cliente do Microsoft Azure em novembro de 2021. Os invasores utilizaram uma botnet de 10 mil dispositivos em todo o mundo para bombardear a vítima com 340 milhões de pacotes por segundo.

Ataques DDoS também foram usados contra governos, incluindo um ataque em 2021 na Bélgica. Os hackers atacaram um provedor de serviços de internet (ISP) administrado pelo governo para cortar as conexões de internet de mais de 200 agências governamentais, universidades e institutos de pesquisa.

Cada vez mais, os hackers estão usando DDoS não como o ataque principal, mas para distrair a vítima de um crime cibernético mais grave – por exemplo, exfiltração de dados ou implementação de ransomware em uma rede enquanto a equipe de cibersegurança está ocupada com a defesa do ataque DDoS.

Os esforços de mitigação e proteção de DDoS normalmente se concentram em desviar o fluxo de tráfego malicioso o mais rápido possível, como rotear o tráfego da rede para centros de depuração ou usar balanceadores de carga para redistribuir o tráfego dos ataques. Para esse fim, as empresas que pretendem proteger suas defesas contra ataques DDoS podem adotar tecnologias capazes de identificar e interceptar tráfego malicioso, incluindo:

• Firewalls de aplicações da web. Atualmente, a maioria das organizações utiliza firewalls de perímetro e de aplicações da web (WAFs) para proteger suas redes e aplicações contra atividades maliciosas. Embora os firewalls padrão protejam no nível da porta, os WAFs garantem a segurança das solicitações antes de encaminhá-las para servidores da web. O WAF sabe quais tipos de solicitações são legítimas e quais não são, o que possibilita que ele elimine o tráfego mal-intencionado e impeça os ataques na camada de aplicações.
  

• Redes de distribuição de conteúdo (CDNs). Uma CDN é uma rede de servidores distribuídos que ajuda os usuários a acessar serviços online de forma mais rápida e confiável. Com uma CDN implementada, as solicitações dos usuários não voltam para o servidor de origem do serviço. Em vez disso, são encaminhadas para um servidor CDN geograficamente mais próximo, que entrega o conteúdo. Os CDNs podem ajudar a proteger contra ataques DDoS, ao aumentar a capacidade geral de tráfego de um serviço. Caso um servidor CDN seja derrubado por um ataque DDoS, o tráfego do usuário pode ser encaminhado para outros recursos de servidores disponíveis na rede.

• SIEM (informações de segurança e gerenciamento de eventos). Os sistemasSIEM oferecem uma variedade de funções para detectar ataques DDoS e outros ciberataques no início de seus ciclos de vida, incluindo gerenciamento de log e insights de rede. As soluções SIEM entregam gerenciamento centralizado de dados de segurança gerados por ferramentas de segurança no local e baseadas em nuvem. Os SIEMs podem monitorar dispositivos e aplicações conectados em busca de incidentes de segurança e comportamentos anormais, como pings excessivos ou solicitações de conexão ilegítimas. Então, o SIEM sinaliza essas anomalias para que a equipe de cibersegurança adote as medidas apropriadas.
  
• Tecnologias de detecção e resposta. Detecção e resposta de endpoint (EDR), detecção e resposta de rede (NDR) e soluções estendidas de detecção e resposta (XDR) usam análise de dados avançada e IA para monitorar a infraestrutura de rede em busca de indicadores de comprometimento (como padrões anormais de tráfego, que podem significar ataques DDoS) e recursos de automação para responder a ataques contínuos em tempo real (por exemplo, encerrar conexões de rede suspeitas).