Do blog

Uma Introdução aos Ataques DDoS

O que são? Como funcionam? Quais os impactos? Como se proteger?

Ataques DDoS são responsáveis atualmente pelo maior índice de indisponibilidade das empresas no Brasil.

Introducao-Protecao-DDoS

O que são?

O termo DDoS deriva do inglês Distributed Denial-of-Service attack, ou Ataque Distribuído por Negação de Serviço. O ataque de negação de serviço (DoS) é diferente de um ataque de DDoS. Enquanto o DoS normalmente usa um computador e uma conexão com a Internet para inundar um sistema ou recurso direcionado, o DDoS usa vários computadores e conexões de Internet para inundar uma determinada infraestrutura. Ataques DDoS são geralmente ataques globais, distribuídos por botnets (robôs instalados de maneira maliciosa em diversos dispositivos).

Existem muitos tipos de ataques DDoS. Os mais comuns são:

Ataques de tráfego: estes ataques operam enviando grandes volumes de pacotes TCP, UDP e ICPM para o alvo. Ao inundar o sistema com solicitações ilegítimas, esse tipo de ataque faz com que as solicitações legítimas sejam perdidas no processo, causando intermitência no serviço e muitas vezes deixando-o totalmente indisponível.

Ataques de largura de banda: este ataque DDoS sobrecarrega o alvo com grandes quantidades de dados inúteis. Isso resulta em perda de largura de banda da rede e recursos do equipamento, podendo levar a uma negação de serviço completa.

Ataques de aplicativos: ataques desse tipo são os mais complexos de se detectar e de se mitigar. O foco desses ataques são as páginas da web (ou portas deixadas abertas) que são geradas pelo servidor e disponibilizadas em resposta a solicitações HTTP. Uma solicitação HTTP é fácil de processar agora, muitas solicitações ao mesmo tempo fazem com que o servidor não consiga responder a tempo, exaurindo seus recursos.

O primeiro ataque documentado desta natureza ocorreu durante a semana de 7 de fevereiro de 2000, quando "mafiaboy", um hacker canadense de 15 anos de idade, orquestrou uma série de ataques DDoS contra vários sites de comércio eletrônico, incluindo Amazon e eBay. 

Os ataques prejudicaram o comércio na Internet nos EUA. O FBI estimou que os locais afetados sofreram U$1,7 bilhão em danos.                        

Como funcionam?

Ataques DDoS ocorrem quando programas maliciosos são instalados em diversas máquinas e realizam múltiplos acessos simultâneos a um site ou à uma infraestrutura.

A principal forma de realizar um DDoS é por meio de uma rede de computadores ou bots hackeados e controlados remotamente (frequentemente chamados de "computadores zumbis"). Eles formam o que é conhecido como “botnet” ou rede de bots e são usados ​​para inundar sites, servidores e redes.

Os botnets podem enviar mais solicitações de conexão do que um servidor pode suportar ou enviar grandes quantidades de dados que excedem as capacidades de largura de banda da vítima. Os botnets podem variar de milhares a milhões de computadores controlados por cibercriminosos. Os cibercriminosos usam botnets para vários fins, incluindo o envio de spam e formas de malware tais como  os ransomwares. Em muitos casos, é comum que computadores pessoais façam parte de botnets sem nem mesmo que seus usuários saibam disso.

Cada vez mais, os milhões de dispositivos que constituem a crescente Internet das Coisas (IoT) estão sendo hackeados e usados ​​para se tornar parte dos botnets usados ​​para realizar ataques DDoS. A segurança dos dispositivos que compõem a Internet das Coisas geralmente não é tão avançada quanto os softwares de segurança encontrados em computadores e laptops.

Como servidores possuem limitações relacionadas ao número de acessos simultâneos, acaba ocorrendo uma sobrecarga do sistema, levando à queda do serviço. Um ataque distribuído por negação de serviço pode simplesmente reiniciar os servidores ou causar o travamento total do sistema.

Quais são os impactos?       

Segundo o último Annual Worldwide Infrastructure Security Report, o Brasil ocupa uma posição de destaque no ranking de países que mais sofrem ataques DDoS. Em 2018, enquanto a média global foi de 36%, no Brasil, esse mesmo índice alcançou 49%.

Os dados se refletem em custos. Ainda segundo a pesquisa, o Brasil é o segundo país que mais perde em receita por conta de ataques, alcançando os U$306.081/hora por downtime (indisponibilidade) em 2018.    Do ponto de vista prático, existem vários sintomas que podem ser notados quando o servidor está sendo atacado. O problema é que os sintomas são tão parecidos com outros problemas mais comuns no dia-a-dia - variando de um vírus a uma conexão lenta com a Internet - que pode ser difícil identificar ameaças DDoS sem um diagnóstico profissional. Os indícios mais comuns de um DDoS incluem:

  • Acesso lento aos arquivos, local ou remotamente;

  • Incapacidade de acessar um site específico;

  • Desconexão da Internet;

  • Problemas para acessar todos os sites;

  • Quantidade excessiva de e-mails spam.

A maioria desses sintomas pode ser difícil de identificar como incomuns. Mesmo assim, se dois ou mais casos ocorrerem durante longos períodos de tempo, você pode ser vítima de um DDoS. É importante estar atento.

Muitos ISPs (empresas provedoras de Internet) quando estão sob ataque direcionam o trafego ao famoso "buraco negro". Neste tipo de defesa, todo o volume de dados é direcionado para uma rota nula, sendo descartado da rede. Apesar de ser muito usado, esse método prejudica bastante a operação dos serviços, pois não faz nenhuma distinção de entre tráfego legítimo e tilegítimo.

Existem algumas empresas que vendem equipamentos especializados na detecção e mitigação de ataques DDoS. Estes equipamentos podem ficar on-premise ou na nuvem. Como os ataques evoluem constantemente, sendo cada vez mais complexos e difíceis de se detectar, contar com uma equipe capacitada e especializada é fundamental (especialmente para lidar com ataques de camada 7).

Boas práticas para melhorar a segurança:   

O primeiro passo é conhecer sua rede e implementar alguns scripts simples para descobrir se o seu DNS e NTP estão abertos, ou até mesmo outros tipos de serviços potencialmente perigosos. Essas práticas são muito importantes e irão proteger não só os seus dados e a sua infraestrutura, como o resto do mundo, já que redes mais seguras têm menor chance de se tornarem alvo ou de provocarem ataques involuntariamente.

O segundo ponto importante é ter um canal ligado aos incidentes de segurança que são reportados pelo Cert(cert.br). O órgão tem diversos scripts dedicados a  descobrir vulnerabilidades, notificar os administradores dos domínios cadastrados no registro.br e posteriormente abrir protocolos para a resolução dos problemas. 

O terceiro (e talvez o mais importante) item deste documento refere-se  ao BCP-38. Esta prática simples que deve ser feita em todos os roteadores, evita o IP spoofing. Por meio de um recurso chamado RPF, disponível na maioria dos equipamentos do mercado, é possível evitar a saída de pacotes estudados da sua rede, deixando-a mais segura.

Soluções                       

Existem algumas soluções disponíveis no mercado, tanto em nuvem como em equipamentos in-house, orientadas a ataques de diversos tamanhos e volumes de dados. 

A melhor opção depende da criticidade da sua operação. Existem soluções que são ativadas 15 minutos após o início do ataque, outras que iniciam a mitigação em 5 segundos, ou ainda as que desligam o seu sistema quando identificam o ataque. Essa última, costuma ser a opção menos eficaz. Considerando que o objetivo do ataque é causar a indisponibilidade do serviço, ao “desligar” o sistema com a intenção de inibir a ameaça, o ataque DDoS acaba sendo bem-sucedido, já que não será possível acessar a aplicação alvo. 

Algumas indústrias são alvos mais frequentes do que outras em termos de ataques DDoS. ISPs têm se tornado alvo constante de ataques nos últimos anos. Com a popularização da internet em fibra e aumento da competitividade, os ataques que deixam milhares de usuários sem acesso a internet causam prejuízos tremendos aos provedores. Recentemente uma quadrilha foi presa por justamente orquestrar ataques contra empresas provedoras de internet (aqui você encontra a notícia)

Um outro mercado muito visado é o de jogos on-line. É bastante comum hackers serem contratadas para derrubar o servidor de um determinado jogo e fazer com que os jogadores precisem mudar de servidor/empresa para continuar jogando. 

Por atender a essa indústria há mais de 15 anos, a Maxihost desenvolveu uma proteção para sua rede que é referência no mercado de games nacional e internacional.    Com uma capacidade de 2 Tbps, nossos scrubbing centers estão equipados para lidar com qualquer ataque distribuído, mitigando em tempo real ataques das camadas 3, 4 e 7.  Ataques de 60 Gbps, por exemplo, são facilmente mitigados. A topologia conta com alguns equipamentos NSFocus que desempenham diferentes atividades, da monitoria até a limpeza imediata do tráfego indevido.    Como clientes diferentes possuem necessidades diferentes, oferecemos  duas formas de proteção:

Proteção Always On, como o nome mesmo diz, essa proteção está sempre ativa, protegendo os blocos de IPs onde os pacotes são filtrados 100% do tempo, com mitigação imediata dos ataques. Nesse modo, todo o tráfego desse IP passa pelo scrubbing center mais próximo. A proteção começa instantaneamente quando um ataque é identificado sem nenhum lag ou aumento de latência no processo.

Proteção On Demand, esta outra opção, serve como uma espécie de seguro para os ISPs que tem suas estruturas menos visadas pelos ataques DDoS, porém sabem da importância da prevenção e se preocupam com a segurança da operação. Nesse modelo existe o investimento de assinatura mensal. Ao receber um ataque DDoS, o ISP ativa a proteção que começa a atuar em 60 segundos, seguindo suas configurações pré-estabelecidas. Ao final da mitigação da ameaça será calculado o tempo em que a proteção atuou e a cobrança será feita com base no período de uso, de acordo com a demanda do negócio.

Caso queira saber mais sobre o assunto ou tirar dúvidas, entre em contato com: [email protected]  e saiba como podemos proteger o seu negócio.    

Não seja vítima de hackers e mostre que a sua rede é estável e segura aos seus clientes.