fbpx

Você sabe o que é Ataques DDoS

Você sabe o que é Ataques DDoS

Um ataque distribuído de negação de serviço (DDoS) é uma tentativa maliciosa de tornar um serviço online indisponível para os usuários, geralmente interrompendo ou suspendendo temporariamente os serviços .

Um ataque DDoS é lançado a partir de vários dispositivos comprometidos , geralmente distribuídos globalmente no que é conhecido como  botnet . É diferente de outros ataques de negação de serviço (DoS), pois usa um único dispositivo conectado à Internet (uma conexão de rede) para inundar um alvo com tráfego malicioso. Essa nuance é a principal razão para a existência dessas duas definições, um tanto diferentes.

De um modo geral, os ataques DoS e DDoS podem ser divididos em três tipos:

Ataques baseados em volume
Inclui inundações de UDP, inundações de ICMP e outras inundações de pacotes falsificados. O objetivo do ataque é saturar a largura de banda do site atacado, e a magnitude é medida em bits por segundo (Bps).

Ataques de protocolo 
Inclui inundações de SYN, ataques de pacotes fragmentados, Ping of Death, Smurf DDoS e muito mais. Esse tipo de ataque consome recursos reais do servidor ou de equipamentos de comunicação intermediários, como firewalls e balanceadores de carga , e é medido em pacotes por segundo (Pps).

Ataques à camada de aplicativos 
Inclui ataques lentos e lentos, inundações GET/POST, ataques direcionados a vulnerabilidades do Apache, Windows ou OpenBSD e muito mais. Composto por solicitações aparentemente legítimas e inocentes, o objetivo desses ataques é travar o servidor da Web, e a magnitude é medida em Solicitações por segundo (Rps).

Tipos comuns de ataques DDoS

Alguns dos tipos de ataque DDoS mais usados ​​incluem:

Inundação UDP

Uma inundação de UDP, por definição, é qualquer ataque DDoS que inunda um alvo com pacotes UDP (User Datagram Protocol). O objetivo do ataque é inundar portas aleatórias em um host remoto. Isso faz com que o host verifique repetidamente o aplicativo que está ouvindo nessa porta e (quando nenhum aplicativo for encontrado) responda com um pacote ICMP ‘Destino inacessível’. Esse processo esgota os recursos do host, o que pode levar à inacessibilidade.

Inundação ICMP (Ping)

Semelhante em princípio ao ataque de inundação UDP, uma inundação ICMP sobrecarrega o recurso de destino com pacotes ICMP Echo Request (ping), geralmente enviando pacotes o mais rápido possível sem esperar por respostas. Esse tipo de ataque pode consumir largura de banda de saída e entrada, pois os servidores da vítima geralmente tentam responder com pacotes ICMP Echo Reply, resultando em uma significativa desaceleração geral do sistema.

Inundação SYN

Um ataque DDoS de inundação SYN explora uma fraqueza conhecida na sequência de conexão TCP (o “aperto de mão de três vias”), em que uma solicitação SYN para iniciar uma conexão TCP com um host deve ser respondida por uma resposta SYN-ACK desse host e em seguida, confirmado por uma resposta ACK do solicitante. Em um cenário de inundação SYN, o solicitante envia várias solicitações SYN, mas não responde à resposta SYN-ACK do host ou envia as solicitações SYN de um endereço IP falsificado. De qualquer forma, o sistema host continua aguardando a confirmação de cada uma das solicitações, vinculando recursos até que nenhuma nova conexão possa ser feita e, por fim, resultando em  negação de serviço .

Ping da Morte

Um ataque de ping da morte (“POD”) envolve o invasor enviando vários pings malformados ou maliciosos para um computador . O comprimento máximo de um pacote IP (incluindo o cabeçalho) é de 65.535 bytes. No entanto, a camada de enlace de dados geralmente impõe limites ao tamanho máximo do quadro – por exemplo, 1500 bytes em uma rede Ethernet. Nesse caso, um pacote IP grande é dividido em vários pacotes IP (conhecidos como fragmentos) e o host destinatário remonta os fragmentos IP no pacote completo. Em um cenário Ping of Death, após a manipulação maliciosa do conteúdo do fragmento, o destinatário acaba com um pacote IP maior que 65.535 bytes quando remontado. Isso pode sobrecarregar os buffers de memória alocados para o pacote, causando negação de serviço para pacotes legítimos.

Slowloris

Slowloris é um ataque altamente direcionado, permitindo que um servidor da Web derrube outro servidor, sem afetar outros serviços ou portas na rede de destino. O Slowloris faz isso mantendo o maior número possível de conexões com o servidor web de destino aberto pelo maior tempo possível. Ele faz isso criando conexões com o servidor de destino, mas enviando apenas uma solicitação parcial. O Slowloris envia constantemente mais cabeçalhos HTTP, mas nunca conclui uma solicitação. O servidor de destino mantém cada uma dessas conexões falsas abertas. Isso eventualmente estoura o pool máximo de conexões simultâneas e leva à negação de conexões adicionais de clientes legítimos.

Amplificação NTP

Em ataques de amplificação de NTP, o agressor explora servidores NTP (Network Time Protocol) acessíveis publicamente para sobrecarregar um servidor de destino com tráfego UDP. O ataque é definido como um ataque de amplificação porque a proporção de consulta para resposta em tais cenários está entre 1:20 e 1:200 ou mais. Isso significa que qualquer invasor que obtenha uma lista de servidores NTP abertos (por exemplo, usando uma ferramenta como Metasploit ou dados do Open NTP Project) pode facilmente gerar um ataque DDoS devastador de alta largura de banda e alto volume.

Inundação HTTP

Em um ataque DDoS de inundação HTTP, o invasor explora solicitações HTTP GET ou POST aparentemente legítimas para atacar um servidor ou aplicativo da Web. As inundações HTTP não usam pacotes malformados, técnicas de spoofing ou reflexão e exigem menos largura de banda do que outros ataques para derrubar o site ou servidor de destino. O ataque é mais eficaz quando força o servidor ou aplicativo a alocar o máximo de recursos possível em resposta a cada solicitação.

As soluções Imperva mitigam os danos DDoS

O Imperva protege os sites de forma transparente e abrangente contra todos os três tipos de ataques DDoS, abordando cada um com um conjunto de ferramentas e estratégia de defesa exclusivos:

Ataques baseados em volume A
Imperva combate esses ataques absorvendo-os com uma rede global de centros de depuração que são dimensionados, sob demanda, para combater ataques DDoS de vários gigabytes.

Ataques de protocolo A
Imperva mitiga esse tipo de ataque bloqueando o tráfego “ruim” antes mesmo de chegar ao site, aproveitando a tecnologia de identificação de visitantes que diferencia entre visitantes legítimos do site (humanos, mecanismos de busca etc.) e clientes automatizados ou maliciosos.

Ataques à camada de aplicativo O
Imperva mitiga os ataques à camada de aplicativo monitorando o comportamento do visitante, bloqueando bots ruins conhecidos e desafiando entidades suspeitas ou não reconhecidas com teste JS, desafio de cookies e até CAPTCHAs .

Em todos esses cenários, a Imperva aplica suas  soluções de proteção DDoS  fora de sua rede, o que significa que apenas o tráfego filtrado chega aos seus hosts. Além disso, a Imperva mantém uma extensa base de conhecimento sobre ameaças DDoS, que inclui métodos de ataque novos e emergentes. Essas informações constantemente atualizadas são agregadas em toda a nossa rede – identificando novas ameaças à medida que surgem, detectando usuários maliciosos conhecidos e aplicando soluções em tempo real em todos os sites protegidos pela Imperva.

Deixe uma resposta

0