O que é um ataque distributed denial-of-service (DDoS)?

Ataques distributed denial-of-service são um tipo de ataque de negação de serviço (ataque DoS), uma categoria que inclui todos os ataques cibernéticos que retardam ou interrompem aplicações ou serviços. Os ataques DDoS são únicos, pois enviam tráfego de ataque de várias origens de uma só vez, possivelmente tornando-o mais difícil de reconhecer e defender, o que coloca o "distribuído" de "distributed denial-of-service".

De acordo com o IBM® X-Force Threat Intelligence Index, os ataques DDoS são responsáveis por 2% dos ataques aos quais a X-Force responde. No entanto, as interrupções que causam podem ser dispendiosas. O downtime do sistema pode levar a interrupções de serviço, perda de receita e danos à reputação. O relatório do custo das violações de dados da IBM observa que o custo médio de negócios perdidos devido a um ataque cibernético é de R$ 1,47 milhão.  

Ao contrário de outros ataques cibernéticos, os ataques DDoS não exploram vulnerabilidades nos recursos da rede para violar sistemas de computador. Em vez disso, utilizam protocolos de conexão de rede padrão, como o Hypertext Transfer Protocol (HTTP) e o Transmission Control Protocol (TCP), para inundar endpoints, aplicativos e outros ativos com mais tráfego do que conseguem atender.

Servidores web, roteadores e outras infraestruturas de rede conseguem processar somente um número finito de solicitações e manter um número limitado de conexões em um dado momento. Esgotando a largura de banda disponível de um recurso, os ataques DDoS impedem que esses recursos respondam a solicitações e pacotes de conexão legítimos.

Em termos gerais, um ataque de DDoS tem dois estágios principais: a criação de uma botnet e a execução do ataque. 

Um ataque DDoS geralmente exige um botnet, uma rede de dispositivos conectados à internet infectados com malware que permite que hackers controlem os dispositivos remotamente.

Os botnets podem incluir notebooks e desktops, telefones móveis, dispositivos de Internet das coisas (IOT) e outros endpoints comerciais ou de consumo. Os proprietários desses dispositivos comprometidos geralmente não sabem que foram infectados nem que estão sendo usados para um ataque DDoS.

Alguns cibercriminosos constroem seus próprios botnets, espalhando malware ativamente e tomando o controle de dispositivos. Outros compram ou alugam botnets preestabelecidas de outros cibercriminosos na dark web sob um modelo conhecido como "denial-of-service as a service".

Nem todos os ataques DDoS usam botnets. Alguns exploram as operações normais de dispositivos não infectados para fins maliciosos. (Para obter mais informações, consulte “Ataques Smurf”.) 

Os hackers comandam os dispositivos da botnet para enviar solicitações de conexão ou outros pacotes para o endereço IP do servidor, dispositivo ou serviço de destino.

A maioria dos ataques DDoS depende de força bruta, enviando um grande número de solicitações para consumir toda a banda disponível do alvo. Alguns ataques DDoS enviam um número menor de solicitações mais complicadas que exigem que o alvo consuma recursos na resposta. Em ambos os casos, o resultado é o mesmo: o tráfego de ataque sobrecarrega o sistema alvo, causando um denial-of-service e impedindo que o tráfego legítimo acesse a ele.

Os hackers geralmente camuflam a origem de seus ataques por meio da falsificação de IP, uma técnica pela qual os cibercriminosos falsificam os endereços IP de origem dos pacotes enviados pela botnet. Em uma forma de falsificação de IP, chamada de “reflexo”, os hackers fazem com que pareça que o tráfego malicioso foi enviado do próprio endereço IP da vítima.

Os ataques DDoS nem sempre são o ataque primário. Às vezes, os hackers os utilizam para distrair a vítima de outro crime cibernético. Por exemplo, os invasores podem exfiltrar dados ou implementar  ransomware em uma rede enquanto a equipe de segurança cibernética está ocupada afastando o ataque do DDoS.

Os hackers utilizam ataques DDoS por todos os tipos de razões: extorsão, fechamento de organizações e instituições das quais discordam, para sufocar empresas concorrentes e até mesmo em guerra cibernética.

Alguns dos alvos de ataque DDoS mais comuns são:

• Varejistas online
• Provedores de serviços de Internet (ISPs)
• Provedores de serviços de nuvem
• Instituições financeiras
• Provedores de software como serviço (SaaS)
• Empresas de jogos
• Agências governamentais

Os ataques DDoS são classificados com base nas táticas que empregam e na arquitetura de rede que visam. Os tipos comuns de ataques DDoS são:

• Ataques na camada de aplicativo
• Ataques de protocolo
• Ataques volumétricos
• Ataques multivetoriais

Como o nome indica, os ataques na camada de aplicações visam a camada de aplicações de uma rede. No framework do modelo Open Systems Interconnection (modelo OSI), é nessa camada que os usuários interagem com páginas da web e aplicativos. Os ataques na camada de aplicações interrompem aplicações da web inundando-os com solicitações maliciosas.

Um dos ataques à camada de aplicações mais comuns é o ataque de inundação de HTTP, no qual um invasor envia continuamente um grande número de solicitações de HTTP de vários dispositivos para o mesmo site da web. O site não consegue atender a todas as solicitações e fica lento ou trava. Os ataques de inundação de HTTP são semelhantes a centenas ou milhares de navegadores da web que atualizam repetidas vezes a mesma página da web.

Os ataques de protocolo têm como alvo a camada de rede (camada 3) e a camada de transporte (camada 4) do modelo OSI. Eles visam sobrecarregar recursos de rede críticos como firewalls, balanceadores de carga e servidores da web com solicitações de conexão maliciosas.

Dois dos tipos mais comuns de ataques de protocolo são ataques de inundação SYN e ataques smurf. 

Um ataque de inundação SYN se utiliza da negociação ou handshake TCP, um processo pelo qual dois dispositivos estabelecem uma conexão entre si. A negociação TCP típica envolve três etapas:

1. Um dispositivo envia um pacote de sincronização (SYN) para iniciar a conexão.
2. O outro dispositivo responde com um pacote de sincronização/confirmação (SYN/ACK) para confirmar a solicitação.
3. O dispositivo original envia de volta um pacote ACK para finalizar a conexão.

Em um ataque de inundação SYN, o invasor envia ao servidor de destino um grande número de pacotes SYN com endereços IP com origem falsificada. O servidor responde aos endereços IP falsificados e aguarda os pacotes ACK finais. Como os endereços IP de origem foram falsificados, esses pacotes nunca chegam. O servidor fica preso a um grande número de conexões incompletas, deixando-o indisponível para as negociações TCP legítimas.

O ataque smurf utiliza o Internet Control Message Protocol (ICMP), protocolo de comunicação utilizado para avaliar o status de uma conexão entre dois dispositivos.

Em uma troca ICMP típica, um dispositivo envia uma solicitação de repetição ICMP para outro e este último dispositivo responde com um eco ICMP.

No ataque smurf o invasor envia uma solicitação de eco ICMP de um endereço IP falsificado que corresponde ao endereço IP da vítima. Essa solicitação de eco ICMP é enviada a uma rede de transmissão IP que encaminha a solicitação a todos os dispositivos de uma rede.

Todos os dispositivos que recebem a solicitação de eco ICMP (provavelmente centenas ou milhares de dispositivos) respondem enviando uma resposta de eco ICMP para o endereço IP da vítima. O grande volume de respostas é maior do que o dispositivo da vítima pode suportar. Assim como muitos outros tipos de ataques DDoS, os ataques smurf não necessariamente precisam de uma botnet.

Ataques DDoS volumétricos consomem toda a largura de banda disponível em uma rede de destino ou entre um serviço de destino e o restante da internet, impedindo assim que usuários legítimos se conectem aos recursos da rede.

Ataques volumétricos frequentemente inundam redes e recursos com altos volumes de tráfego, mesmo em comparação com outros tipos de ataques DDoS. Os ataques volumétricos ficaram conhecidos por sobrecarregar as medidas de proteção contra DDoS, como os centros de limpeza, que são projetados para filtrar o tráfego malicioso do tráfego legítimo.

Os tipos comuns de ataques volumétricos incluem inundações UDP, inundações ICMP e ataques de amplificação de DNS.

As inundações UDP enviam pacotes UDP (User Datagram Protocol) falsos para as portas de um host de destino, fazendo com que o host procure uma aplicação para receber esses pacotes. Como os pacotes UDP são falsos, não há nenhum aplicativo para recebê-los, e o host deve enviar uma mensagem ICMP "destination unreachable" de volta ao remetente.

Os recursos do host ficam sobrecarregados para responder ao fluxo constante de pacotes UDP falsos, deixando o host indisponível para responder a pacotes legítimos.

Inundações de ICMP, também conhecidas como "ataques de inundação", bombardeiam alvos com solicitações de eco ICMP de vários endereços IP falsificados. O servidor alvejado deve responder a todas essas solicitações e fica sobrecarregado, não conseguindo processar solicitações de eco ICMP válidas.

Os ataques de inundação de ICMP se diferenciam dos ataques smurf porque os invasores enviam grandes números de solicitações ICMP de suas botnets. No ataque smurf, os hackers enganam os dispositivos de rede para que enviem respostas ICMP para o endereço IP da vítima.

No ataque de amplificação de DNS o invasor envia várias solicitações de Domain Name System (DNS) para um ou vários servidores de DNS públicos. Essas solicitações de pesquisa usam um endereço IP falsificado pertencente à vítima e pedem aos servidores DNS para retornarem uma grande quantidade de informações por solicitação. O servidor de DNS responde às solicitações inundando o endereço IP da vítima com grandes quantidades de dados.

Como o nome implica, os ataques multivetoriais exploram diversos vetores de ataque, e não uma única fonte, para maximizar os danos e frustrar os esforços de mitigação de DDoS.

Os atacantes podem usar vários vetores simultaneamente ou alternar entre os vetores durante o ataque, quando um vetor for impedido. Por exemplo, os hackers podem começar com um ataque smurf, mas quando o tráfego de dispositivos de rede é desligado, podem iniciar uma inundação UDP a partir de seu botnet.

As ameaças DDoS também podem ser usadas combinadas com outras ameaças cibernéticas. Por exemplo, os atacantes de ransomware podem pressionar suas vítimas ameaçando executar um ataque DDoS se o resgate não for pago.

Os ataques DDoS continuam sendo uma tática comum de cibercriminosos por muitas razões.

Um cibercriminoso nem precisa mais saber como programar para lançar um ataque de DDoS. Os mercados de crimes cibernéticos prosperam na dark web, onde os agentes de ameaças podem comprar e vender botnets, malware e outras ferramentas para realizar ataques DDoS.

Ao contratar botnets prontas de outros hackers, os cibercriminosos podem facilmente lançar ataques DDoS por conta própria, com pouca preparação ou planejamento.

Como os botnets são compostos em grande parte por dispositivos comerciais e de consumidores, pode ser difícil para as organizações separar o tráfego mal-intencionado dos usuários reais.

Além disso, os sintomas dos ataques DDoS—serviço lento e sites e aplicativos temporariamente indisponíveis—podem ser causados por picos repentinos no tráfego legítimo, dificultando a detecção precoce dos ataques DDoS.

Quando um ataque DDoS é identificado, a natureza distribuída do ataque cibernético significa que as organizações não podem simplesmente bloqueá-lo desligando uma única fonte de tráfego. Os controles padrão de segurança de rede destinados a impedir ataques DDoS, como a limitação de taxa, também podem retardar as operações de usuários legítimos.

A ascensão da Internet das Coisas fornece aos hackers um rico repositório de dispositivos para serem convertidos em bots.

Os aparelhos com recursos de internet, incluindo a tecnologia operacional (OT), como dispositivos de saúde e sistemas de fabricação, são vendidos e operados com padrões universais e controles de segurança fracos ou inexistentes, tornando-os vulneráveis à infecção por malware.

Pode ser difícil para os proprietários desses dispositivos perceberem que foram comprometidos, já que os dispositivos IoT são frequentemente usados de forma passiva ou com pouca frequência.

Os ataques DDoS estão se tornando mais sofisticados à medida que os hackers adotam ferramentas de inteligência artificial (IA) e machine learning (ML) para ajudar a direcionar seus ataques. Ataques DDoS adaptativos usam IA e ML para encontrar os aspectos mais vulneráveis dos sistemas e mudarem automaticamente vetores e estratégias de ataque em resposta aos esforços de mitigação de DDoS de uma equipe de cibersegurança.

Quanto mais cedo um ataque de DDoS puder ser identificado, mais cedo a defesa e a remediação poderão começar. Os sinais de que um ataque está em andamento são:

• Um site ou serviço inesperadamente começa a desacelerar ou fica completamente indisponível.
  
  
• Um volume excepcionalmente grande de tráfego chega de um único endereço IP ou faixa de endereços IP.
  
  
• O tráfego de muitos perfis semelhantes, como de um tipo específico de dispositivo ou geolocalização, aumenta repentinamente.
  
  
•  Um aumento repentino nas solicitações de uma única ação, endpoint ou página.
  
  
• Picos de tráfego em horário incomum do dia, dia da semana ou em um padrão regular, como a cada cinco minutos.
  
  
• Erros ou tempos limite excedidos sem explicação.
  
  
•  Os serviços que compartilham a mesma rede simultaneamente começam a desacelerar.

Muitos desses comportamentos podem ser causados por outros fatores. No entanto, verificar primeiro se há ataques DDoS pode economizar tempo e mitigar danos caso um ataque DDoS esteja em andamento.

Soluções de proteção DDoS ajudam a detectar anomalias de tráfego e determinar se são inocentes ou maliciosas. Afinal, uma enxurrada repentina de solicitações pode ser o resultado de uma campanha de marketing bem-sucedida, e bloqueá-las pode ser um desastre comercial.

Os esforços de mitigação de DDoS normalmente tentam desviar o fluxo de tráfego malicioso o mais rápido possível. 

Os esforços comuns de prevenção e mitigação de DDoS são:

Embora os firewalls padrão protejam redes no nível da porta, os WAFs ajudam a garantir que as solicitações sejam seguras antes de encaminhá-las para servidores web. Um WAF pode determinar quais tipos de solicitações são legítimos e quais não são, o que lhe permite descartar o tráfego mal-intencionado e impedir ataques na camada de aplicações.

Uma CDN é uma rede de servidores distribuídos que ajuda os usuários a acessar serviços online de forma mais rápida e confiável. Com uma CDN implementada, as solicitações dos usuários não voltam para o servidor de origem do serviço. Em vez disso, as solicitações são encaminhadas para um servidor CDN geograficamente mais próximo que entrega o conteúdo.

As CDNs podem ajudar a proteger contra ataques DDoS aumentando a capacidade geral de tráfego de um serviço. Quando um servidor CDN é derrubado por um ataque DDoS, o tráfego do usuário pode ser redirecionado para outros recursos de servidor disponíveis na rede.

Detecção e resposta de endpoint (EDR), detecção e resposta de rede (NDR) e outras ferramentas podem monitorar a infraestrutura de rede em busca de indicadores de comprometimento. Quando esses sistemas detectam possíveis sinais de DDoS, como padrões de tráfego anormais, podem acionar respostas a incidentes em tempo real, como o encerramento de conexões de rede suspeitas.

Um "buraco negro" é parte de uma rede onde o tráfego de entrada é excluído sem ser processado nem armazenado. Roteamento de buraco negro significa desviar o tráfego de entrada para um buraco negro quando se suspeita de um ataque de DDoS.

A desvantagem é que o roteamento de buraco negro pode descartar os bons junto com os ruins. Tráfego válido e possivelmente valioso também pode ser desperdiçado, tornando o roteamento de buraco negro um instrumento simples, mas contundente diante de um ataque.

Limitação de taxa significa impor limites ao número de solicitações recebidas que um servidor pode aceitar durante um período definido. O serviço também pode ficar lento para usuários legítimos, mas o servidor não fica sobrecarregado. 

O balanceamento de carga é o processo de distribuição do tráfego de rede entre vários servidores para otimizar a disponibilidade da aplicação. O balanceamento de carga pode ajudar na defesa contra ataques DDoS, direcionando automaticamente o tráfego para longe de servidores sobrecarregados.

As organizações podem instalar balanceadores de carga baseados em hardware ou software para processar o tráfego. Podem também usar redes anycast, que permitem que um único endereço IP seja atribuído a vários servidores ou nós em vários locais para que o tráfego possa ser compartilhado entre esses servidores. Normalmente, uma solicitação é enviada para o servidor ideal. À medida que o tráfego aumenta, a carga é distribuída, o que significa que os servidores estão menos propensos a ficarem sobrecarregados.

Os centros de depuração são redes ou serviços especializados que podem filtrar o tráfego mal-intencionado do tráfego legítimo empregando técnicas como autenticação de tráfego e detecção de anomalias. Os centros de depuração bloqueiam o tráfego mal-intencionado e permitem que o tráfego legítimo chegue ao seu destino.