É comum ver sites, sejam pequenas lojas virtuais, sites de notícias ou portais governamentais, caindo por causa do excesso de tráfego. Isso pode acontecer por causa de um sucesso inesperado – no caso de vendas de ingressos ou lançamentos de videogames –, mas, quase sempre, sites sobrecarregados de visitas são causados por ataques DDoS criminosos.
Ataques de Distributed Denial of Service (DDoS) são uma das formas mais comuns de ciberataques que existem hoje. De acordo com o Digital Attack Map, do Google, que monitora esse tipo de ataque em tempo real, eles são responsáveis por um terço de todos os incidentes de downtime online.
As razões por trás de derrubar sites de forma maliciosa são muitas: ativismo político, chantagem (conhecido como ransomware) e até mesmo o tédio de um hacker. Neste post, no entanto, vamos olhar mais de perto para a forma como ataques DDoS funcionam, quais são os tipos mais comuns de ataques e como sua empresa pode prevenir e remediá-los.
Como funcionam ataques DDoS
Imagine, por exemplo, que você está levando caixas do correio para sua casa. Há um limite para o número de caixas que você consegue carregar de uma vez antes de derrubar alguma coisa. Digamos que esse limite seja de 10 caixas. Se você receber 100 caixas, terá de fazer 10 viagens e atrasar o resto das suas atividades diárias. Mas e se você receber mil caixas? E um milhão? Talvez você derrube todas elas e comece a chorar de frustração. A mesma coisa acontece com computadores quando eles sofrem ataques DDoS.
Basicamente, um ataque de Distributed Denial of Service (Negação de Serviço Distribuído) acontece quando uma pessoa má intencionada usa um exército de computadores infectados, conhecido como botnet, para disparar requisições sem parar para o site escolhido e sobrecarregar seu sistema de tráfego.
Cada dispositivo individual é conhecido como um bot, daí botnet (uma rede de dispositivos), ou até mesmo um zumbi (um device infectado). Quando um computador ou IoT é infectado com malware, hackers conseguem controlá-lo remotamente e fazer requisições para o alvo desejado sem o conhecimento do dono daquele dispositivo.
Seu computador pode estar infectado agora mesmo, mandando um caminhão de requisições para o site Ministério da Saúde do Camboja por um grupo de hackers ativistas. O mesmo pode acontecer com sua geladeira inteligente, sua impressora wireless e até o sistema de segurança da fábrica de carros mais próxima.
Quase qualquer dispositivo ligado à internet pode ser usado como um bot DDoS. Porém, a maioria dos cibercriminosos usam pequenas empresas e dispositivos desprotegidos como alvo, já que estão completamente despreparados para ataques DDoS.
Mas como posso identificar um ataque DDoS?
Observe, o primeiro sinal que seu empreendimento está sofrendo um ataque DDoS é quando o site ou serviço cai de repente ou se torna muito lento. Mas não se preocupe: pode ser que o evento para o qual você esteja vendendo ingressos ou o produto que acabou de lançar realmente fez muito mais sucesso do que você esperava e, de fato, teve um pico de tráfego para o qual você não estava preparado.
Para ter certeza absoluta, você deve dar uma olhada no seu dashboard de analytics e checar alguns sinais que indicam tráfego artificial ou suspeito, vindo de lugares geográficos ou indo para páginas que você não esperaria, como:
- Tráfego demais vindo de um único endereço de IP ou conjunto de IPs;
- Tráfego de usuários com o mesmo perfil comportamental (como tipo de dispositivo, geolocalização ou versão de browser) inundando seu site;
- Um número surpreendente de requisições para uma única página ou endpoint no seu site ou aplicação;
- Padrões de tráfego artificiais, como picos em horários estranhos ou a cada 15 minutos.
Esses são os sinais que você geralmente deve prestar atenção para descobrir se seu site ou aplicação está sofrendo um ataque DDoS, mas há outras pistas específicas dependendo do tipo de ataque. O que nos leva a…
Diferentes tipos de ataques DDoS
Os tipos de ataque DDoS variam de acordo com a natureza do ataque e os métodos de amplificação, podendo ser definidos pelo que fazem e qual componente do sistema é atacado. Observaremos, a seguir, do mais simples ao mais complexo: ataques volumétricos, de protocolo e da camada de aplicação.
Ataques volumétricos
Ataques volumétricos são aqueles que alguns chamam de ataque DDoS clássico, que busca saturar a banda de uma rede com uma quantidade massiva de dados. Esse tipo de ataque usa uma forma de amplificação ou utiliza requisições de um botnet para criar uma quantidade enorme de tráfego e sobrecarregar um sistema.
Alguns exemplos de ataques volumétricos são UDP floods, ICMP (Ping) floods e qualquer outro tipo de flood de dados falsos. O seu tamanho é medido por bits por segundo (Bps).
Ataques de protocolo
Também conhecidos como ataques de estado de exaustão, ataques de protocolo focam em explorar vulnerabilidades em recursos de redes, sobrecarregando configurações de servidores, como firewalls e load balancers. Ataques de protocolo miram nas camadas 3 e 4 do modelo OSI para desabilitar componentes da rede que, do contrário, poderiam entregar tráfego bom para aplicações e sites.
Esse tipo de ataque manda requisições falsas para os componentes de rede, sobrecarregando-os com dados falsos aos quais não conseguem responder, levando-os a finalmente pararem completamente de responder. Ataques de protocolo incluem SYN floods, ataques de pacotes fragmentados, Ping of Death e ataques Smurf. São medidos em packets por segundo (Pps).
Ataques da Camada de Aplicação
Também conhecidos como ataques de Camada 7, esse tipo de ofensiva tem a intenção de derrubar um servidor web. Dá para pensar nele como se estivessem atualizando um browser de novo e de novo em milhares de computadores de uma vez. Ataques de camada 7 são os ataques DDoS mais conhecidos e podem ser complicados de descobrir, já que são difíceis de distinguir de requisições legítimas.
Ataques de camada de aplicação podem ser muito eficientes, até mesmo quando originadas de um número pequeno de máquinas com uma taxa baixa de tráfego. Incluem HTTP floods, low-and-slow attacks, GET/POST floods e podem mirar nas vulnerabilidades do Apache, Windows ou OpenBSD. A magnitude de ataques de Camada 7 é medida em requisições por segundo (Rps).
Mitigando ataques DDoS
Lidar com ataques DDoS requer uma quantidade de táticas diferentes, que incluem firewalls e outras camadas de proteção e devem incluir planejamento estratégico no caso de ocorrer um ataque. Algumas soluções comuns incluem usar testes de CAPTCHA para filtrar robôs de tráfego de humanos reais para banir atividade suspeita antes de chegar ao seu serviço.
Ao lidar com muitas tendências modernas de DDoS, a Forrester aponta para a necessidade de incluir estratégias proativas, como a criação de um manual para a equipe saber responder a cada um processos, definir caminhos de escalada e o que cada indivíduo deve fazer em tempos como esses. Limitar a superfície de ataque e construir redundância é ideal para diminuir as oportunidades de entrada de criminosos.
Na Azion, temos uma variedade de produtos para monitorar, bloquear atividades suspeitas e manter suas aplicações web funcionando bem a todo momento. O Azion Network Layer Protection permite que você crie listas baseadas em rede, localizações do usuário ou ASN, ou use listas de reputação de IP atualizadas automaticamente. Como resultado, dá para bloquear e monitorar comportamentos suspeitos ou aplicar restrições como rate limiting para prevenir requisições de sobrecarregarem servidores.
Nosso Web Application Firewall (WAF) utiliza um método de scoring que ranqueia ameaças para todas as requisições, permitindo bloqueios baseados no nível de sensibilidade desejado. Fechando com chave de ouro, temos o DDoS Protection, que usa uma rede distribuída globalmente que inclui centros de mitigação para fornecer inteligência e a capacidade necessária para mitigar até mesmo os ataques mais massivos e sofisticados.
Em nossa era digital, a internet é uma fonte importante de informação, entretenimento e até compras, então tirar um único site do ar não causa prejuízo apenas para seu dono, mas para todo o ambiente online. Ataques DDoS vão continuar acontecendo com cada vez mais frequência enquanto nosso mundo se torna ainda mais digital. É nossa responsabilidade manter sites e serviços importantes alertas e operantes.