Os ataques DDoS são uma das ameaças mais comuns no cenário atual. Mas, para impedi-los de travar ou degradar suas aplicações web, você precisa entender o que são e como funcionam.
Simplificando, um ataque DDoS (Distributed Denial of Service), ou negação de serviço distribuído, ocorre quando um agente malicioso usa um exército de computadores infectados, conhecido como botnet, para enviar requisições ininterruptas ao site escolhido e sobrecarregar seu sistema de tráfego.
São inúmeros os tipos de ataques, mas os principais são:
- Ataques baseados em volume: Esse tipo de ataque usa uma forma de amplificação ou requisições de um botnet para criar grandes quantidades de tráfego e sobrecarregar um sistema.
- Ataques de protocolo: também conhecidos como ataques de exaustão de estado, os ataques de protocolo concentram-se na exploração de vulnerabilidades em recursos de rede, sobrecarregando as configurações de servidor, como firewalls e load balancers.
- Ataques da camada de aplicação: também conhecidos como ataques de camada 7, esse tipo de ataque visa a derrubar o servidor da web e pode ser considerado como uma atualização de um navegador da web repetidamente em milhares de computadores ao mesmo tempo.
Para obter explicações mais detalhadas sobre como um DDoS funciona, consulte este post. Neste, nós vamos abordar os tipos específicos de ataques e entender a diferença entre eles.
Tipos mais comuns de ataques DDoS
Ao verificar os relatórios de segurança e os resultados das análises pós-ataques DDoS, talvez você se depare com muitos nomes diferentes em relação aos vários tipos de ataques. O que você precisa saber primeiro é que, basicamente, todos os ataques DDoS visam a sobrecarregar os sistemas com requisições.
Mas você deve estar se perguntando: afinal de contas, quais são as diferenças entre eles? O que essas letras significam? Não se preocupe, nós explicamos a seguir.
Amplificação DNS
Ataques de amplificação são, em geral, ataques DDoS volumétricos baseados em reflexão. Nesse caso, o invasor usa este processo para abrir os resolvedores de DNS para sobrecarregar os servidores ou redes de destino com enorme quantidade de tráfego, tornando-os inacessíveis para o restante de sua infraestrutura.
- Tipo de ataque: baseado em volume
- Solução: usar uma rede com alta capacidade e firewall programável
UDP Flood
Como o nome sugere, a inundação de UDP é um ataque de negação de serviço que inunda seu alvo com pacotes de User Datagram Protocol (UDP). Com o objetivo de inundar portas aleatórias em hosts remotos, esse ataque faz com que eles verifiquem se há ouvintes de aplicações e retornem com pacotes ICMP de “destino inacessível”. À medida que esse processo é executado continuamente, os recursos do protocolo ficam sobrecarregados, pois o firewall tenta processar e responder a todas essas requisições.
- Tipo de ataque: baseado em volume
- Solução: descartar requisições UDP não relacionadas ao DNS no edge da rede e fazer o load balancing em uma rede de servidores de alta capacidade
SYN Flood
Os ataques SYN exploram o handshake de três etapas da sequência de conexão TCP, em que as requisições SYN enviadas para começar uma conexão TCP devem ser respondidas pelo servidor e confirmadas pelo requisitante. Em um ataque SYN flood, o invasor envia requisições SYN repetidas para seu alvo sem confirmar a resposta, bloqueando recursos enquanto o dispositivo-alvo aguarda por essa confirmação para completar a sequência, resultando em redução de desempenho ou até mesmo em serviços indisponíveis.
- Tipo de ataque: baseado em protocolo
- Solução: usar proxies reversos ou firewalls para filtrar requisições
HTTP Flood
Os ataques HTTP Flood são um outro tipo de ameaça difícil de se bloquear, pois são especialmente criados para atingir uma aplicação ou servidor específico, usando requisições aparentemente legítimas em vez de pacotes malformados, falsificações e técnicas de reflexão. Ao contrário, o botnet do invasor inunda o servidor com o maior número possível de requisições GET ou POST de processamento intensivo, causando a sobrecarga dos recursos do alvo.
- Tipo de ataque: camada de aplicação
- Solução: WAF e mitigação avançada de bot
Amplificação NTP
NTP é um protocolo de rede que as máquinas conectadas à internet usam para sincronizar seus relógios. As versões mais antigas do NTP também permitem que os administradores monitorem o tráfego usando um comando chamado “monlist”, que envia uma lista dos últimos 600 servidores que se conectaram ao servidor consultado. Em ataques de amplificação NTP, o invasor envia repetidamente a requisição “get monlist” para um servidor NTP acessível publicamente enquanto falsifica o servidor do alvo. Como resultado, a lista é enviada repetidamente para o servidor do alvo, amplificando a quantidade de tráfego e resultando em serviço degradado ou indisponível para usuários legítimos.
- Tipo de ataque: baseado em volume
- Solução: desabilitar a lista única, fazer a filtragem de entrada e balanceamento de tráfego em uma rede de alta capacidade para evitar a sobrecarrega de um único endereço de IP
Como se proteger contra ataques DDoS
Existem várias formas e tipos de ataques DDoS, alguns dos quais podem ser quase indistinguíveis de requisições legítimas. Sem um parceiro experiente em mitigação de DDoS, as políticas de segurança das empresas podem gerar falsos positivos, que negam o tráfego legítimo, ou falsos negativos, que as tornam vulneráveis a ataques.
A rede edge da Azion usa uma estrutura de proxy reverso que fornece uma camada de proteção contra ataques DDoS, pois oculta a identidade dos servidores de origem de nossos clientes e entrega uma alta porcentagem de requisições diretamente do edge, evitando que o tráfego malicioso alcance sua infraestrutura de origem.
Além disso, nosso stack de segurança integrado, o Edge Firewall, proporciona segurança programável no edge da rede, incluindo DDoS Protection, Network Layer Protection, WAF e Bot Mitigation. Esses módulos fornecem as ferramentas necessárias para criar políticas de segurança zero trust e mitigar os maiores e mais complexos ataques:
- Time-to-mitigate rápido (normalmente menos de um segundo)
- 100% de tempo de atividade, respaldado pelo SLA
- Segurança full-stack, que permite alta visibilidade, respostas automatizadas e fácil integração com as principais soluções analíticas
- Roteador SDN, que isola os clientes e usa algoritmos avançados para manter o desempenho durante ataques complexos
Para saber mais sobre os ataques DDoS, leia este post sobre as tendências de ataques DDoS recentes, ou fale com um de nossos especialistas sobre como a Azion pode proteger sua empresa de ataques DDoS.