O que é um ataque DDoS?

O significado e 5 tipos principais

Ataque DDoS

Imagine que é dono de um café. Certo dia, abre a loja e um fluxo enorme de pessoas entra pelas suas portas. Certamente pensará: vai ser um dia de ocupado; bom para o negócio. Bem, será de facto um dia ocupado, mas nem por isso será bom para o negócio. Estas pessoas estão a sentar-se nas mesas, mas não fazem nenhum pedido. Continuam a chegar, a ocupar espaço, e a dificultar a vida aos clientes que querem realmente comprar alguma coisa. A certo ponto, o fluxo de pessoas é tão grande que bloqueia completamente as portas, negando por completo o serviço aos clientes verdadeiros.

Isto seria um ataque DDoS, se este se passasse na vida real.

Sumário: Um ataque distribuído de negação de serviço, ou DDoS (Distributed Denial of Service), é feito com o propósito de deixar websites e redes fora de serviço. É uma forma de cibercrime que envia um fluxo contínuo de tráfego falso para serviços online, tais como websites, até que estes congelem ou fiquem desabilitados. É um ataque difícil de travar, de tal forma que da sua lista de vítimas constam já alguns dos maiores websites existentes. Continue a ler para saber mais sobre os ataques DDoS mais comuns.

DDos Attack

O que é um ataque DDoS?

DDoS é um acrónimo para Distributed Denial of Service (negação de serviço distribuída). Um ataque DDos faz com que um serviço online fique indisponível, bombardeando-o com tráfego vindo de várias fontes.

É um tipo específico de ataque DoS (Denial of Service, ou negação de serviço), que é um ataque que tem uma única fonte: apenas uma ligação à rede ou um dispositivo comprometido. Por outro lado, os ataques DDoS são originados em mais do que uma fonte.

De uma forma simples, designa-se por ataque de negação de serviço qualquer forma de prevenir utilizadores reais de acederem a um certo recurso na rede. O café que demos como exemplo há pouco pode ser qualquer recurso online, como por exemplo um servidor de jogos ou um website.

Quando o servidor ou website se encontra sob um ataque DDoS, não tem capacidade para cumprir o seu objetivo original. Dado que o ataque sobrecarrega o servidor de jogos ou website com tráfego falso, o tráfego verdadeiro – ou seja, as pessoas que se querem juntar ao servidor ou visitar o website – não o conseguem fazer.

A maioria dos ataques DDoS é feito através de botnets, que são redes de bots, ou seja, redes ligadas à Internet de dispositivos comprometidos controlados por um hacker. O número de dispositivos numa botnet pode ir desde apenas uma mão-cheia até, literalmente, aos vários milhões. Pior ainda: visto que a maioria das botnets usa recursos comprometidos, os verdadeiros donos desses dispositivos nem sequer estão conscientes que estão a ser usados para efetuar ataques DDoS.

Ao multiplicar o número de fontes usadas no ataque, não só a sua eficácia é muito maior como também é muito mais fácil ao seu autor esconder a sua identidade.

Tipos de ataques DDoS

Para percebermos melhor como podemos parar um ataque DDoS, primeiro temos de conhecer os seus diferentes tipos. Os ataques DDoS enquadram-se em três categorias principais, dependendo do foco do ataque:

  1. Ataques baseados em volume – como o nome indica, este tipo de ataque DDoS promove o volume acima de tudo o resto. Também são usualmente chamados “inundações”, ou floods, um nome que se adequa tendo em conta a forma como são levados a cabo. Este é o tipo mais básico e o mais representativo da definição de ataque DDoS.
  2. Ataques por exploração de protocolos – este tipo de ataque privilegia o envio de ondas de bots para protocolos específicos no recurso de rede alvo, tais como os balanceadores de rede ou as firewalls.
  3. Ataques na camada de aplicação – Considerados o tipo mais perigoso e sofisticado de ataque DDoS, estes ataques visam aplicações de rede através da exploração das suas vulnerabilidades. Também chamados de “layer 7 attacks”, ou “ataques da camada 7” (camada de aplicação), os ataques de aplicação funcionam da mesma forma que os anteriores, mas não requerem força bruta porque se focam nas fraquezas dos servidores-alvo. É necessário muito menos tráfego para monopolizar processos específicos e protocolos nestes pontos fracos, o que, ainda para mais, faz deste ataque muito mais difícil de detetar porque o baixo volume de tráfego pode parecer legítimo.

Top 5 dos ataques DDoS mais usados

Os ataques DDoS mais usados derivam das três categorias principais descritas acima:

  1. Inundação UDP (UDP Flood)

As aplicações usam protocolos de comunicação para se ligarem através da Internet. Os protocolos mais usados são o Transmission Control Protocol (TCP, ou TCP/IP, sendo que IP significa Internet Protocol) e o User Datagram Protocol (UDP, ou UDP/IP). As aplicações enviam pacotes de dados pela Internet para estabelecerem ligações e enviarem dados entre si.

Uma inundação UDP é exatamente aquilo que se esperaria: um ataque DDoS de exploração de protocolos que ataca o UDP.

O autor do ataque envia ao servidor-alvo pacotes UDP com informação falsa – o servidor é incapaz de fazer corresponder cada pacote UDP à aplicação correta, e devolve uma mensagem de erro. Se isto se repetir vezes suficientes, o sistema pode ficar sobrecarregado e, em última instância, deixar de responder.

  1. Inundação DNS (DNS Flood)

Os servidores DNS (Domain Name Server) são servidores informáticos que associam o URL de um website ao endereço IP respetivo. Por exemplo, quando visita o Facebook para ver como estão os seus amigos e família, geralmente escreve Facebook[.]com no seu browser. O que está na verdade a dizer ao seu computador é para aceder a um dos endereços IP do Facebook (O Facebook tem vários, tendo em conta a quantidade de tráfego que tem de acomodar). Um dos endereços IP do Facebook é 66.220.144.0.

Ou seja, os servidores DNS traduzem o nome do website que conhecemos para o seu endereço IP verdadeiro.

O que acontece, então, se um ataque DDoS for usado para inundar os servidores DNS de modo a que estes não consigam cumprir a sua função? É este o objetivo de uma inundação DNS.

  1. Inundação SYN (SYN Flood)

Um pedido SYN faz parte do “three-way handshake” (aperto de mão em 3 fases), a sequência usada para estabelecer uma ligação TCP. Não se preocupe, apesar de parecer muito técnico, na realidade é bastante simples:

Primeiro, o cliente envia um pedido SYN (synchronize, ou sincronização) ao servidor. O servidor responde com um SYN-ACK (synchronize-acknowledge, ou sincronização-reconhecimento). O cliente que iniciou o pedido finaliza o protocolo com uma mensagem ACK (acknowledge, ou reconhecimento). O que este processo faz é permitir às duas máquinas negociar a forma como vão comunicar daí em diante.

Uma inundação SYN pára o three-way handshake na primeira fase. O autor do ataque envia múltiplos pedidos SYN a partir de vários endereços IP falsos, ou simplesmente envia vários pedidos a partir do mesmo endereço IP e não responde às mensagens SYN-ACK do alvo. Assim, o sistema-alvo fica a aguardar pela última parte do three-way handshake, a mensagem ACK, para cada um dos pedidos.

Se isto for feito com velocidade e volume suficiente, os recursos do sistema-alvo podem ficar completamente cativos, até que é impossível estabelecer novas ligações, resultando assim numa negação de serviço.

  1. Inundação HTTP (HTTP Flood)

HTTP significa Hypertext Transfer Protocol, e este protocolo é a base da transferência de dados na Internet. Na verdade, deve estar a vê-lo na barra de endereços do seu browser neste momento, com um “s” adicional que significa HTTP seguro.

Tal como acontece com os outros protocolos, o HTTP usa alguns tipos de pedidos para enviar ou pedir informação, tais como o HTTP POST e o HTTP GET. Uma inundação HTTP é tipicamente usada quando os hackers adquirem informação útil de um dado website e cobrem o seu rasto com uma quantidade enorme de pedidos HTTP POST e HTTP GET para sobrecarregar a aplicação ou servidor em questão.

Este método não requer tanta largura de banda para ser levado a cabo, mas pode levar os servidores a esgotar todos os seus recursos.

  1. Inundação ICMP/Ping (ICMP/Ping Flood)

O Internet Control Message Protocol (ICMP) é um protocolo de reporte de erros usado habitualmente pela ferramenta de diagnóstico ping, entre outras. Resumidamente, o utilizador faz um “ping” a um website para verificar se é possível aceder-lhe. Os resultados do ping podem dar-lhe uma ideia dos seus problemas de conectividade, e a partir daí poderá começar o processo de resolução.

Um ping envia um pequeno pacote de informação a um determinado recurso na rede (por exemplo, um website), e esse recurso responde com outro pequeno pacote de informação.

Uma inundação ping é simplesmente um dilúvio de pedidos ping, em número tão elevado que a largura de banda do sistema-alvo fica totalmente ocupada na tentativa de responder a todos os pedidos.

Outro ataque DDoS que usa o ping é o chamado Ping of Death (o ping da morte), que, em vez de utilizar elevados volumes de pacotes de tamanhos semelhantes, contorna as medidas de segurança e envia pacotes com dimensões excessivas ou com uma estrutura incorreta para sobrecarregar o sistema.

Como parar um ataque DDoS

Os ataques DDoS são difíceis de identificar. Um administrador de sistema a fazer uma manutenção, ou mesmo um problema técnico com certos recursos da rede, podem produzir sintomas semelhantes a um ataque DDoS. Ainda assim, é sempre preferível ser desconfiado e investigar melhor se observar uma performance muito lenta ou indisponibilidade de recursos.

A proteção contra DDoS pode ser configurada através da monitorização do tráfego da rede e análise com firewalls monitorizadas ou sistemas de deteção de intrusões – estes podem detetar e identificar ataques DDoS. Os administradores de sistema podem também configurar alertas para atividades de tráfego anómalas, tais como cargas de tráfego invulgarmente altas, ou perdas de pacotes que se enquadrem em certos critérios.

As más notícias são as seguintes: os ataques DDoS modernos podem ser em tão larga escala e tão sofisticados, que resolver um ataque por si próprio é praticamente impossível. Terá que contactar o seu fornecedor de acesso à Internet (ISP, ou Internet Service Provider), ou um especialista em mitigação DDoS, para travar a ameaça definitivamente.

Se está a ser vítima de um ataque, há certas ações que pode tomar para ganhar algum tempo enquanto contacta o seu ISP ou um especialista:

  • Aprovisionamento de largura de banda por excesso – aumente a disponibilidade da largura de banda várias vezes em relação ao seu limite atual para acomodar picos súbitos de tráfego.
  • Defenda o perímetro de rede do seu servidor web – pode mitigar os efeitos de um ataque DDoS em curso alterando alguns dos parâmetros da sua rede:
  • Limitar a cadência de pedidos do seu router (rate limiting) ajuda a evitar que o seu servidor web fique sobrecarregado.
  • Adicionar filtros ajuda o seu router a identificar fontes inequívocas de ataques.
  • Criar timeouts (tempos limite) mais restritivos para ligações dessincronizadas (half-open). Alguns dos ataques DDoS mais comuns tiram partido de protocolos em estado half-open para entupir a sua largura de banda. Timeouts mais restritivos ajudam a fechar ligações abertas pelo ataque DDoS em curso.
  • Ignorar pacotes de dados mal estruturados ou falsos (spoofed).
  • Baixar os limites para a perda de mensagens SYN, UDP, e ICMP – três dos ataques DDoS mais comuns.

Ao alterar estes parâmetros, poderá ganhar tempo suficiente para que o seu ISP consiga dominar o ataque DDoS, ou para que o especialista em mitigação o consiga resolver.
Adicionalmente, algumas empresas de segurança de Internet oferecem produtos e serviços que podem ajudar a prevenir ataques e a adicionar mais camadas de proteção contra DDoS. A melhor forma de prevenir, identificar, e travar ataques DDoS é através de software de proteção contra DDoS.

Fontes (em inglês):

 

    Você está protegido?

    Os ataques DDoS visam websites, e não pessoas individuais. Por isso, a menos que seja o administrador de um website, está a salvo desta ameaça. Ainda assim, recomendamos que não arrisque quando está online.