O que é UM ataque de DDoS?

Em um ataque de DDoS (negação distribuída de serviço), um invasor sobrecarrega seu alvo com tráfego de Internet indesejado para que o tráfego normal não possa atingir o destino pretendido.

Mas o que isso realmente significa? Imagine seu filme favorito de zumbis. Hordas de criaturas infectadas, todas com o mesmo objetivo: assolar a civilização enquanto espalham sua "praga zumbi". Elas inundam os recursos dos órgãos de segurança pública, destroem as forças militares e desativam os serviços de saúde. Então, inevitavelmente, há um enorme engarrafamento que chega até onde os olhos podem ver, enquanto as pessoas fogem na estrada para ficar em segurança. Um ataque de DDoS é assim: um apocalipse zumbi on-line. Mas, em vez de zumbis, hordas de computadores infectados vão atrás de um website direcionado, todos ao mesmo tempo, afastando os humanos e os negócios.

Um ataque de DDoS ao website, à aplicação da Web, às APIs, à rede ou à infraestrutura de data center de uma empresa pode causar tempo de inatividade e impedir que usuários legítimos comprem produtos, usem um serviço, obtenham informações ou façam qualquer outro acesso.

Durante um ataque de DDoS, os invasores usam muitas máquinas exploradas e dispositivos conectados pela Internet, incluindo dispositivos de IoT (Internet das Coisas), smartphones, computadores pessoais e servidores de rede, para enviar uma inundação de tráfego para os alvos.

A camada de aplicação está na parte superior e mais próxima do usuário final. É onde as pessoas interagem com computadores e dispositivos e onde as redes se conectam às aplicações.

A criptografia e a descriptografia de dados ocorrem na camada de apresentação, permitindo uma transmissão segura.

A camada de sessão permite que dispositivos, computadores ou servidores se comuniquem entre si e controla as portas e as sessões.

Na camada de transmissão, os dados são comunicados por meio do TCP (Transmission Control Protocol), que se baseia no IP (Internet Protocol), também chamado de TCP/IP.

A camada de rede determina o caminho físico que os dados seguirão para chegar ao destino.

A camada de link de dados oferece uma maneira de transferir dados entre entidades de rede. Ela também é um meio de detectar e corrigir erros que podem ocorrer na camada física.

A primeira e a mais baixa, a camada 1 é a camada física em que os bits brutos são transmitidos por meio de um link de dados físico que conecta os nós de rede.

A intenção de um ataque de DDoS baseado em volume é sobrecarregar uma rede com grandes quantidades de tráfego, saturando a largura de banda do recurso da vítima pretendida. As grandes quantidades do tráfego de ataque impedem que os usuários legítimos acessem a aplicação ou o serviço, dificultando que o tráfego entre ou saia. Dependendo do alvo, interromper o tráfego legítimo pode fazer com que um cliente do banco não consiga pagar uma conta no prazo, que os compradores de comércio eletrônico não consigam concluir transações on-line, que um paciente do hospital possa ser impedido de acessar seu prontuário médico ou que um cidadão não consiga visualizar seus registros fiscais em um órgão governamental. Independentemente da organização, bloquear as pessoas de um serviço que elas esperam usar on-line causa um impacto negativo.

Os ataques volumétricos usam botnets criados com exércitos de sistemas e dispositivos infectados por malwares individuais. Controlados por um invasor, os bots são usados para causar congestionamento entre um alvo e a Internet em geral, com um tráfego mal-intencionado que satura toda a largura de banda disponível.

Um ataque imprevisto de tráfego de bots pode retardar significativamente ou impedir o acesso a um recurso da Web ou um serviço voltado para a Internet. Como os bots invadem dispositivos legítimos para amplificar os ataques de DDoS que fazem uso intenso de largura de banda, geralmente sem o conhecimento do usuário, a organização que é vítima do ataque tem dificuldades para detectar o tráfego mal-intencionado.

Os agentes de ameaças usam vários vetores de ataques de DDoS volumétricos. Muitos aproveitam técnicas de reflexão e amplificação para sobrecarregar o alvo, seja uma rede ou um serviço.

Com frequência, a modalidade "flood de UDP" é escolhida para os ataques de DDoS de maior largura de banda. Os invasores tentam sobrecarregar as portas do host visado com pacotes IP que contêm o protocolo UDP sem estado. Em seguida, o host da vítima procura aplicações associadas aos pacotes de UDP e, quando não as encontra, retorna uma mensagem "Destination Unreachable" (destino inacessível) ao remetente. Muitas vezes, os endereços IP são falsificados para anonimizar o invasor e, quando o host visado é inundado com o tráfego do ataque, o sistema deixa de responder e fica indisponível para os usuários legítimos.

Os ataques de reflexão do DNS (Sistema de Nomes de Domínio) são um tipo comum de vetor em que os cibercriminosos falsificam o endereço IP do alvo para enviar grandes quantidades de solicitações aos servidores DNS abertos. Em resposta, esses servidores DNS respondem às solicitações mal-intencionadas enviadas pelo endereço IP falsificado, o que cria um ataque ao alvo desejado por meio de uma inundação de respostas do DNS. Muito rapidamente, o grande volume de tráfego criado a partir das respostas do DNS sobrecarrega os serviços da organização vitimada, o que os torna indisponíveis e impede que o tráfego legítimo chegue ao destino pretendido.

O ICMP (Internet Control Message Protocol) é usado principalmente para mensagens de erro e, normalmente, não troca dados entre sistemas. Os pacotes do ICMP podem acompanhar os pacotes do TCP, que permitem que aplicações e dispositivos de computação troquem mensagens por uma rede, ao se conectarem a um servidor. A modalidade flood de ICMP é um método de ataque de DDoS à infraestrutura de camada 3 que usa mensagens do ICMP para sobrecarregar a largura de banda da rede visada.

Os ataques a protocolos tentam consumir e esgotar a capacidade de computação de vários recursos de infraestrutura de rede, como servidores ou firewalls, por meio de solicitações de conexão mal-intencionadas que exploram as comunicações dos protocolos. As modalidades flood de SYN (Synchronize) e DDoS Smurf são dois tipos comuns de ataques de DDoS baseados em protocolos. É possível medir os ataques a protocolos em pps (pacotes por segundo) e bps (bits por segundo).

Uma das principais maneiras pelas quais as pessoas se conectam a aplicações da Internet é por meio do TCP. Essa conexão requer um handshake tridirecional de um serviço do TCP (como um servidor da Web) e envolve o envio do que se chama pacote de SYN (sincronização) de onde o usuário se conecta ao servidor que, então, retorna um pacote SYN-ACK (confirmação de sincronização). Esse pacote, por fim, é respondido com uma comunicação final de ACK (confirmação) para concluir o handshake do TCP.

Durante um ataque flood de SYN, um cliente mal-intencionado envia um grande volume de pacotes de SYN (primeira parte do handshake usual), mas nunca envia a confirmação para concluir o handshake. Isso deixa o servidor aguardando uma resposta a essas conexões semiabertas do TCP, que acabam ficando sem capacidade para aceitar novas conexões dos serviços que monitoram estados de conexão. 

Um ataque flood de SYN é como um trote terrível feito por toda a turma de graduação de um grande colégio, em que todos os alunos ligam para a mesma pizzaria e pedem uma pizza no mesmo período. Então, quando o entregador vai organizar os pedidos, percebe que há pizzas demais, que elas não cabem no carro e que os pedidos não têm endereço. Assim, todo o processo de entrega é interrompido.

O nome desse ataque de DDoS se baseia no conceito de que invasores minúsculos e numerosos podem sobrecarregar um oponente muito maior por volume absoluto, assim como a colônia fictícia de pequenos humanoides azuis também chamados de Smurfs.

Em um ataque de negação distribuída de serviço do tipo Smurf, muitos pacotes do ICMP (Internet Control Message Protocol) com o IP de origem falsificado de um alvo pretendido são transmitidos a uma rede de computadores usando um endereço de transmissão IP. Por padrão, a maioria dos dispositivos em uma rede responderá enviando uma resposta ao endereço IP de origem. Dependendo do número de máquinas na rede, o computador da vítima pode ser extremamente desacelerado ao ser inundado de tráfego.

Realizados por meio da inundação de aplicações com solicitações mal-intencionadas, os ataques à camada de aplicação são medidos em RPS (solicitações por segundo). Também chamados de ataques de DDoS de camada 7, esses ataques visam e interrompem aplicações da Web específicas, não redes inteiras. Embora sejam difíceis de evitar e mitigar, eles estão entre os ataques de DDoS mais fáceis de iniciar.

Em comparação, é fácil assustar uma manada de cavalos e fazê-los correr em disparada, mas é quase impossível controlá-los novamente. Os ataques à camada de aplicação são assim: fáceis de implantar, difíceis de desacelerar ou parar e direcionados especificamente a um alvo.

Em um cenário de ataque em constante evolução, Proteção contra DDoS por meio de um provedor de mitigação que adota uma abordagem de defesa em profundidade é possível manter as organizações e os usuários finais seguros. Um serviço de mitigação de DDoS detectará e bloqueará ataques de DDoS o mais rapidamente possível, idealmente em zero segundo ou alguns segundos a partir do momento em que o tráfego do ataque chega aos centros de depuração do provedor de mitigação. Como os vetores de ataque continuam mudando e os tamanhos dos ataques continuam aumentando, para obter a melhor proteção contra DDoS, um provedor deve investir continuamente na capacidade de defesa. Para acompanhar os ataques grandes e complexos, é necessário ter as tecnologias certas para detectar o tráfego mal-intencionado e iniciar sólidas contramedidas defensivas para mitigar ataques rapidamente.

Os provedores de mitigação de DDoS filtram o tráfego mal-intencionado para impedir que ele atinja o ativo visado. O tráfego de ataque é bloqueado por um serviço de depuração de DDoS, um serviço de DNS baseado em nuvemou um serviço de proteção da Web baseado em CDN. A mitigação em nuvem remove o tráfego do ataque antes que ele atinja o alvo.

A depuração de DDoS pode manter seus negócios on-line em funcionamento, mesmo durante um ataque. Ao contrário da mitigação baseada em CDN, um serviço de depuração de DDoS pode proteger todas as portas, protocolos e aplicações do data center, incluindo serviços baseados na Web e em IP. As organizações direcionam o tráfego de rede de uma de duas maneiras: por meio de uma alteração do anúncio de rota do BGP (Border Gateway Protocol) ou de um redirecionamento do DNS (um registro ou CNAME) para a infraestrutura de depuração do provedor de mitigação. O tráfego é monitorado e inspecionado em busca de atividades mal-intencionadas, e a mitigação será aplicada se ataques de DDoS forem identificados. Normalmente, esse serviço pode estar disponível em configurações sob demanda e sempre ativas, dependendo da postura de segurança preferida de uma organização (embora um número cada vez maior de organizações esteja migrando para um modelo de implantação sempre ativo pela resposta defensiva mais rápida).

Uma CDN (Rede de Entrega de Conteúdo) avançada e devidamente configurada pode oferecer proteção contra ataques de DDoS. Quando um provedor de serviços de proteção de website usa a CDN para acelerar o tráfego especificamente usando os protocolos HTTP e HTTPS, todos os ataques de DDoS direcionados a esse URL podem ser descartados na edge da rede. Isso significa que os ataques de DDoS de camadas 3 e 4 são mitigados imediatamente, pois esse tipo de tráfego não se destina às portas da Web 80 e 443. Como um proxy em nuvem, a rede fica na frente da infraestrutura de TI de um cliente e entrega o tráfego dos usuários finais aos websites e às aplicações. Como essas soluções operam em linha, os ativos voltados para a Web são sempre protegidos, sem interação humana, contra os ataques de DDoS na camada de rede. Para defesa específica da camada de aplicação, as organizações devem procurar implantar um web application firewall para combater ataques avançados, incluindo certos tipos de ataques de DDoS, como inundações HTTP GET e HTTP POST, que visam interromper os processos de aplicação da camada 7 do modelo de OSI.   

As organizações podem reduzir sua superfície de ataque e, ao mesmo tempo, reduzir o risco de tempo de inatividade e interrupções que causam impacto sobre os negócios implantando controles de segurança específicos de DDoS. Esse tipo de defesa pode impedir um ataque e permitir que visitantes legítimos acessem sua organização on-line como fariam normalmente. A proteção contra DDoS impede que o tráfego mal-intencionado atinja seu alvo, limitando o impacto do ataque e, ao mesmo tempo, permitindo a passagem do tráfego normal. 

Durante a mitigação, seu provedor de proteção contra DDoS implantará uma sequência de contramedidas destinadas a interromper e diminuir o impacto de um ataque de DDoS, ou negação distribuída de serviço. À medida que os ataques modernos se tornam cada vez mais avançados, a proteção de mitigação de DDoS em nuvem ajuda a oferecer defesa em profundidade e em escala, mantendo a infraestrutura de back-end e os serviços voltados para a Internet disponíveis e com desempenho ideal.

A Akamai oferece defesa em profundidade contra DDoS por meio de uma malha transparente de defesas dedicadas de edge, DNS distribuído e depuração em nuvem. Essas soluções em nuvem de uso específico foram criadas para fortalecer as posturas de segurança contra DDoS e, ao mesmo tempo, reduzir superfícies de ataque, aprimorar a qualidade da atenuação e reduzir falsos positivos, ao mesmo tempo em que aumentam a resiliência contra os maiores e mais complexos ataques.

Além disso, as soluções podem ser ajustadas aos requisitos específicos de suas aplicações da Web ou seus serviços baseados na Internet.

A Akamai projetou sua plataforma inteligente de edge globalmente distribuída como um proxy reverso que somente aceita tráfego pelas portas 80 e 443. Todos os ataques de DDoS à camada de rede são descartados instantaneamente na edge com um SLA (Acordo de Nível de Serviço) de zero segundo. Isso significa que os invasores que iniciam ataques de DDoS na camada de rede não têm qualquer chance.

Para ataques DDoS na camada de aplicação, incluindo aqueles iniciados via APIs, Kona Site Defender detecta e mitiga os ataques, ao mesmo tempo em que concede acesso a usuários legítimos.

Serviço de DNS oficial da Akamai, Edge DNS, também filtra o tráfego na edge. Ao contrário de outras soluções de DNS, a Akamai projetou o Edge DNS especificamente para oferecer disponibilidade e resiliência contra ataques de DDoS. O Edge DNS também oferece desempenho superior, com redundâncias arquitetônicas em vários níveis, incluindo servidores de nomes, pontos de presença, redes e, até mesmo, nuvens IP Anycast segmentadas.