O que é a proteção contra distributed denial-of-service (DDoS) protection?

Embora o IBM® X-Force Threat Intelligence Index relate que os ataques DDoS representam 2% dos ataques aos quais o X-Force responde, as interrupções que esses ataques causam podem ser caras. Na verdade, o relatório do custo das violações de dados da IBM observa que o custo de negócios perdidos devido a um ataque cibernético é de, em média, US$ 1,47 milhão.

A ativação de medidas fortes de proteção contra DDoS ajuda a garantir o tempo de atividade, evitar downtime e interrupções nos negócios e proteger a reputação da organização.

A prevenção de ataques DDoS começa com a compreensão do que eles normalmente visam. O tráfego de ataques DDoS tende a se concentrar em uma das três camadas do modelo de rede Open Systems Interconnection (OSI):

• A camada de aplicação (camada 7), que é a camada superior, onde os aplicações voltados para o usuário interagem com uma rede.
• A camada de transporte (camada 4), que é a camada na qual os dados são transmitidos de e para aplicações individuais.
• A camada de rede (camada 3), que lida com o endereçamento, o roteamento e o encaminhamento de dados para dispositivos que interagem em diferentes redes. 

Os ataques na camada de aplicação têm como alvo a camada de aplicação de uma rede. Um exemplo é um ataque de inundação HTTP, no qual um invasor envia um grande número de solicitações HTTP de vários dispositivos para o mesmo site para travá-lo. As inundações de consultas de DNS atacam os servidores do Sistema de Nomes de Domínio (DNS), sobrecarregando-os com solicitações de sites falsos.

Os ataques de protocolo visam as camadas de rede e transporte. São exemplos, os ataques de inundação SYN, que aproveitam a negociação de TCP—processo pelo qual dois dispositivos estabelecem uma conexão entre si—para sobrecarregar os servidores com pacotes fraudulentos. Os Ataques Smurf aproveitam-se do Internet Control Message Protocol (ICMP), inundando o dispositivo de uma vítima com centenas ou milhares de respostas de eco ICMP.

Os ataques volumétricos consomem toda a largura de banda disponível em uma rede de destino ou entre um serviço de destino e o resto da internet, impedindo assim que usuários legítimos se conectem aos recursos da rede. 

Os exemplos incluem inundações UDP, que enviam pacotes UDP (User Datagram Protocol) falsos para as portas de um host de destino. Os recursos do host estão empenhados em um esforço vão para encontrar uma aplicação para receber esses pacotes falsos. Inundações de ICMP, também conhecidas como "ataques de inundação", enviam repetidamente solicitações de eco ICMP para um endereço IP de destino, tentando saturar o alvo com tráfego e sobrecarregar seu processamento de pacotes. Esses ataques geralmente usam endereços IP falsificados para dificultar a detecção e o bloqueio do tráfego mal-intencionado.

Ataques multivetoriais exploram múltiplos vetores ou nós de ataque, em vez de uma única fonte, para maximizar os danos e frustrar os esforços de mitigação de DDoS.

Os atacantes podem usar vários vetores simultaneamente ou alternar entre os vetores durante o ataque, quando um vetor for impedido. Por exemplo, os hackers podem começar com um ataque smurf, mas quando o tráfego de dispositivos de rede é desligado, podem iniciar uma inundação UDP a partir de seu botnet.

Claro. De acordo com o Departamento Federal de Investigação dos EUA (FBI): “É ilegal participar de ataques distributed denial-of-service (DDoS) e serviços de DDoS por contrato. O FBI e outras agências policiais investigam ataques DDoS como crimes cibernéticos". As penalidades podem ser:

• Apreensão de computadores e outros dispositivos eletrônicos
• Prisão e processo criminal
• Sentenças de prisão consideráveis
• Multas

As soluções e serviços de segurança de DDoS geralmente são desenvolvidas com base em recursos de detecção e resposta automáticas para ajudar as organizações a identificar e agir sobre padrões anormais ou picos suspeitos de tráfego de rede em tempo real. Quando são detectadas atividades incomuns, muitas soluções de proteção contra DDoS bloqueiam instantaneamente o tráfego malicioso ou fecham vulnerabilidades que os invasores podem tentar explorar.

As ferramentas e técnicas comuns de prevenção e mitigação de DDoS são:

Um “black hole” (buraco negro) — também conhecido como “rota nula” — é uma parte da rede onde o tráfego recebido é excluído sem ser processado nem armazenado. O roteamento Blackhole é o ato de desviar o tráfego recebido para um buraco negro quando há a suspeita de um ataque DDoS.

A desvantagem é que o roteamento de buraco negro pode descartar os bons junto com os ruins. Tráfego válido e possivelmente valioso também pode ser desperdiçado, tornando o roteamento de buraco negro um instrumento simples, mas contundente diante de um ataque.

As ferramentas de identificação e gerenciamento de bots ajudam a combater as ameaças de DDoS identificando o tráfego malicioso dos bots.

Alguns bots — como os bots que o Google usa para indexar páginas nos resultados de pesquisa — são benignos. Mas alguns são usados para fins maliciosos. Por exemplo, muitos ataques DDoS são realizados por meio de botnets. Botnets são redes de bots que os cibercriminosos criam assumindo o controle de notebooks e desktops, celulares, dispositivos de Internet das coisas (IOT) e outros endpoints comerciais ou de consumo.

O software de gerenciamento de bots é frequentemente utilizado para bloquear o tráfego indesejado ou malicioso de bots da internet, permitindo que bots úteis acessem os recursos da web. Muitas dessas ferramentas usam inteligência artificial (IA) e aprendizado de máquina (ML) para distinguir bots de visitantes humanos. O software de gerenciamento de bots pode bloquear bots possivelmente maliciosos com testes CAPTCHA ou outros desafios e limitar ou negar automaticamente bots que possam sobrecarregar o sistema. 

Uma CDN é uma rede de servidores distribuídos que ajuda os usuários a acessar serviços online de forma mais rápida e confiável. Com uma CDN implementada, as solicitações dos usuários não voltam para o servidor de origem do serviço. Em vez disso, as solicitações são encaminhadas para um servidor CDN geograficamente mais próximo que entrega o conteúdo.

CDNs podem ajudar a apoiar os esforços de mitigação de DDoS, aumentando a capacidade geral de tráfego de um serviço. Quando um servidor CDN é desligado por um ataque DDoS, o tráfego do usuário pode ser encaminhado para outros recursos de servidor disponíveis na rede.

Detecção e resposta de endpoint (EDR), detecção e resposta de rede (NDR), análise de comportamento de usuários e entidades (UEBA) e ferramentas semelhantes podem monitorar a infraestrutura de rede e os padrões de tráfego em busca de indicadores de comprometimento. Geralmente funcionam construindo modelos de referência do comportamento normal da rede e identificando desvios do modelo que podem significar tráfego malicioso.

Quando esses sistemas detectam possíveis sinais de DDoS, como padrões de tráfego anormais, podem acionar respostas a incidentes em tempo real, como o encerramento de conexões de rede suspeitas.

As impressões digitais de dispositivos utilizam informações coletadas sobre software e hardware para determinar a identidade de dispositivos de computação específicos. Algumas ferramentas de proteção contra DDoS, como sistemas de gerenciamento de bots, utilizam bancos de dados  de impressões digitais para identificar bots conhecidos ou filtrar dispositivos associados a intenções maliciosas comprovadas ou suspeitas.

O balanceamento de carga é o processo de distribuição do tráfego de rede entre vários servidores para otimizar a disponibilidade da aplicação. O balanceamento de carga pode ajudar na defesa contra ataques DDoS, direcionando automaticamente o tráfego para longe de servidores sobrecarregados.

As organizações podem instalar balanceadores de carga baseados em hardware ou software para processar o tráfego. Podem também usar redes anycast, que permitem que um único endereço IP seja atribuído a vários servidores ou nós em vários locais para que o tráfego possa ser compartilhado entre esses servidores. Normalmente, uma solicitação é enviada para o servidor ideal. À medida que o tráfego aumenta, a carga é distribuída, o que significa que os servidores estão menos propensos a ficarem sobrecarregados.

Esses dispositivos podem ser dispositivos físicos ou máquinas virtuais instaladas na rede de uma empresa. Eles monitoram o tráfego de entrada, detectam padrões suspeitos e bloqueiam ou limitam o tráfego potencialmente perigoso.

Como esses dispositivos são instalados localmente, eles não precisam enviar tráfego para um serviço baseado em nuvem para inspeção ou depuração. Os dispositivos de proteção contra DDoS no local podem ser úteis para organizações que exigem baixos níveis de latência, como plataformas de conferência e jogos. 

A filtragem de protocolo analisa o tráfego de rede em relação ao comportamento normal de protocolos de comunicação comuns, como TCP, DNS e HTTPS. Se o tráfego que utiliza um protocolo específico se desviar da norma desse protocolo, as ferramentas de filtragem de protocolo poderão sinalizá-lo ou bloqueá-lo.

Por exemplo, os ataques de amplificação de DNS usam endereços IP falsificados e solicitações de DNS mal-intencionadas para inundar os dispositivos das vítimas com grandes quantidades de dados. A filtragem de protocolo pode ajudar a identificar e eliminar essas solicitações de DNS incomuns antes que possam causar danos. 

Limitação de taxa significa colocar limites no número de solicitações de entrada que um servidor pode aceitar durante um período definido. O serviço também pode ficar lento para usuários legítimos, mas o servidor não fica sobrecarregado. 

Os centros de depuração são redes ou serviços especializados que podem filtrar o tráfego mal-intencionado do tráfego legítimo empregando técnicas como autenticação de tráfego e detecção de anomalias. Os centros de depuração bloqueiam o tráfego mal-intencionado e permitem que o tráfego legítimo chegue ao seu destino.

Embora os firewalls padrão protejam redes no nível da porta, os WAFs ajudam a garantir que as solicitações sejam seguras antes de encaminhá-las para servidores web. Um WAF pode determinar quais tipos de solicitações são legítimos e quais não são, o que lhe permite descartar o tráfego mal-intencionado e impedir ataques na camada de aplicações.

As ferramentas de IA e ML podem permitir mitigações de DDoS adaptáveis, que ajudam as organizações a combater ataques de DDoS e minimizar interrupções para usuários legítimos. Ao analisar e aprender com o tráfego, as ferramentas de IA e ML podem fazer um ajuste fino nos seus sistemas de detecção para reduzir falsos positivos que bloqueariam erroneamente um tráfego válido e prejudicariam oportunidades de negócios.

Provavelmente não. Os ataques de DDoS geralmente são lançados a partir de botnets construídas com centenas ou milhares de dispositivos sequestrados que pertencem a usuários inocentes. O hacker que comanda a botnet geralmente falsifica os endereços IP dos dispositivos, portanto rastreá-los todos pode ser demorado e provavelmente não apontará o verdadeiro culpado.

Dito isso, em determinadas circunstâncias e com recursos suficientes, alguns ataques de DDoS podem ser rastreados. Empregando análises forenses avançadas em cooperação com provedores de serviços de Internet (ISPs) e equipes policiais, as organizações podem identificar seus atacantes. Esse resultado é mais provável no caso de atacantes repetidos, que podem deixar pistas sobre os padrões dos seus ataques. 

Na maioria das vezes, não. Se o ataque for pequeno ou pouco sofisticado, um firewall de rede tradicional pode oferecer alguma proteção, mas um ataque sofisticado ou em grande escala passaria despercebido.

O problema é que a maioria dos firewalls não consegue reconhecer e impedir tráfego malicioso disfarçado de tráfego normal. Por exemplo, ataques HTTP GET enviam várias solicitações de arquivos de um servidor alvo, o que provavelmente parece normal para ferramentas padrão de segurança de rede. 

No entanto, os firewalls de aplicações da web (WAFs) operam em uma camada de rede diferente dos firewalls tradicionais e têm casos de uso para mitigar ataques DDoS, conforme mencionado anteriormente. 

Os ataques DDoS podem tirar aplicações, sites, servidores e outros recursos de uma organização fora do ar, interrompendo o serviço para os usuários e custando dinheiro significativo na forma de perda de negócios e reputação prejudicada.

Os ataques DDoS também podem impedir que as organizações cumpram seus contratos de nível de serviço (SLAs), o que pode afastar os clientes. Se os sistemas de uma organização não estiverem disponíveis sob demanda, os usuários podem decidir levar seus negócios para outro lugar.

Essas ameaças cibernéticas visam cada vez mais infraestruturas críticas, como serviços financeiros e serviços públicos. Um estudo recente relatou que os ataques DDoS contra infraestrutura crítica aumentaram 55% nos últimos quatro anos.

Além disso, os ataques DDoS são frequentemente usados como cobertura para ataques cibernéticos ainda mais prejudiciais. Por exemplo, às vezes, oshackers lançam um ataque DDoS para distrair a vítima e possibilitar que implementem ransomware em uma rede enquanto a equipe de cibersegurança está ocupada com o ataque DDoS.

As soluções de mitigação de DDoS e os serviços de proteção contra DDoS podem ajudar as organizações a interromper completamente muitos desses ataques, evitando interrupções em setores e serviços essenciais. Se não conseguirem impedir um ataque, poderão reduzir consideravelmente o downtime para ajudar a garantir a continuidade de negócios.

As soluções modernas de proteção contra DDoS podem ajudar a defender ativos locais e baseados na nuvem, permitindo que as organizações protejam recursos independentemente de onde se encontrem.