Há muito tempo, quando ouvi pela primeira vez na vida o que havia sido um dos primeiros ataques de negação de serviço (DDoS) , estava em uma aula sobre “redes”, quando o professor falou em ping da morte , algo que me chamou a atenção e ficou comigo.
Para quem não sabe do que estou falando, ping of death , é um ataque que no começo da internet e redes poderia deixar uma placa de rede totalmente sem funcionar, apenas enviando um pacote ICMP maior que o estabelecido no TCP / pilha IP.
Quando projetaram as primeiras placas de rede, não imaginavam o que aconteceria se chegasse um pacote com tamanho maior que o definido pelos limites da pilha TCP/IP. Como se verificaria mais tarde, as placas de rede não souberam o que fazer, e entraram num “choque” que as deixou fora do jogo.
Algo tão simples é a base de qualquer ataque de negação de serviço e uma infinidade de ataques contra serviços, aplicativos ou infraestrutura. Hoje tudo mudou muito, mas tudo ainda tem alguma semelhança com o “ping da morte”.
Em 2020, quando as comunicações e redes se espalharam quase infinitamente, facilitando nosso trabalho e atividade pessoal, encontramos a contrapartida dessa evolução tecnológica. Mais tecnologia, mais equipamentos com falhas de design, mais protocolos em uso que não foram pensados do ponto de vista funcional, etc… faz com que, com o aumento desta tecnologia, aumentem também os ataques, roubos de informação, etc.
DDoS
Negação de serviço distribuída é um termo com o qual a maioria de nós no mundo da TI está familiarizada. Nos últimos anos ocorreram ataques gravíssimos a grandes infraestruturas que deixaram milhões de pessoas sem acesso a serviços que utilizamos no nosso dia-a-dia (visa, youtube, amazon, entidades bancárias…).
O QUE É DDoS?
Quando falamos de DDoS nos referimos a qualquer tipo de ataque que visa criar indisponibilidade em um serviço, aplicativo ou recurso . Em outras palavras, esses ataques não visam roubar informações ou controlar dispositivos remotamente, seu único objetivo é negar o serviço (a um usuário legítimo).
DoS e DDoS são dois termos muito parecidos, sendo a principal diferença a utilização de um ou vários dispositivos , para realizar uma negação de serviço. Nos primórdios da Internet, com uma única equipe podíamos criar indisponibilidade em infraestruturas críticas.
Com o passar do tempo, os servidores e aplicativos aumentaram seus recursos tanto na largura de banda quanto no nível da máquina, o que torna muito difícil para nós negar um serviço usando apenas um único dispositivo. Os ataques DDoS usam vários dispositivos atacando um único alvo ao mesmo tempo. Esses ataques aumentaram nos últimos anos com o uso de “ botnets ” (redes de milhares de dispositivos controlados por cibercriminosos) e hoje se tornou uma atividade muito lucrativa.
TIPOS DE ATAQUES DDoS
Vamos nos aprofundar nos tipos de ataques DDoS e algumas técnicas que são usadas para entender o alcance e os danos que esses ataques causam em qualquer setor.
Ataques Volumétricos
Ataques volumétricos envolvem uma grande quantidade de tráfego enviado ao alvo ou vítima . A palavra volumétrica não implica necessariamente em saturar a largura de banda de uma linha, embora seja comum.
Os ataques de volume envolvem uma grande quantidade de tráfego enviado ao alvo ou vítima.
A vítima considera esses pacotes como válidos e os processa, o que acaba saturando a largura de banda ou os recursos do servidor. Esses ataques geralmente são medidos em bps, os mais conhecidos são:
- Amplificação / Reflexão . Os hackers usam um sistema remoto para fazer requisições com o IP falsificado da vítima , ou seja, se fazem passar pelo computador que querem saturar. Existem muitos protocolos que, por design, respondem com uma quantidade muito maior de dados do que a solicitação inicial. Os hackers usam esses sistemas para enviar uma pequena solicitação várias vezes em um curto período de tempo e o sistema “amplificador” responde com uma grande quantidade de informações à vítima.
- ICMP/UDP . Os invasores aproveitam o ouvinte “echo” para enviar grandes solicitações ao alvo . Como não são orientados à conexão, ICMP e UDP podem ser usados com endereços IP falsos, já que o objetivo não é receber as respostas, mas saturar as mesmas, não podendo processar todas as solicitações recebidas. Esses ataques saturam os recursos das máquinas e drenam a largura de banda.
- SMURF . É uma variante usada pela primeira vez em 1997 de um ataque ICMP Flood. O Smurf usa o endereço da vítima como IP de origem e muitas solicitações são feitas para endereços de broadcast . A vítima começa a receber milhares de respostas de todos os hosts agrupados pelo endereço de broadcast.
Ataques de aplicativo/protocolo
Ataques a aplicações e protocolos são muito comuns e buscam explorar algumas fragilidades no projeto de aplicações nas camadas 4 a 7 do modelo OSI . Estes ataques acabam por esgotar os recursos físicos do alvo e por isso acontece uma negação do serviço ou aplicação, enchendo as tabelas de ligações/sessões ou esgotando os recursos das máquinas atacadas (CPU, memória…).
Existem muitos ataques contra aplicativos, na Internet o mais comum é atacar servidores web, bancos de dados ou aplicativos que estejam fornecendo um serviço aos usuários. Ao usar pacotes malformados ou incompletos na camada do aplicativo, eles estão esgotando os recursos do servidor.
São ataques de grande envergadura ao nível do tráfego, mas o seu principal objetivo não é degradar ou saturar as linhas de comunicação, mas sim os servidores que estão a executar as aplicações.
Vejamos alguns dos mais comuns:
- HTTP POST/GET . Esse tipo de ataque explora uma fraqueza no design do HTTP. Um cabeçalho HTTP atrasado é usado . O servidor web tem que esperar a primeira parte do cabeçalho web chegar e deixar o cabeçalho “atrasado” em espera. Ao receber muitos pacotes desse tipo, acaba saturando o buffer e a memória do servidor web. Com o método post, algo semelhante é feito, mas usando pacotes com um “corpo” incompleto.
- SLOWLORIS . Nesse ataque, o invasor tentará preencher a tabela de conexões do servidor web, abrindo conexões parciais e enviando partes dessas conexões de vez em quando . Os servidores Web devem ter essas conexões ativas e em espera, o que acaba enchendo a tabela de conexões e ocupando recursos da máquina.
- INUNDAÇÃO TCP . O invasor enviará um grande número de pacotes TCP com o sinalizador SYN . O servidor abre a conexão e espera receber os pacotes seguintes para completar o “3 way handshake”, e assim iniciar a troca de informações. O atacante nunca envia o ACK para continuar o processo, então o servidor tem que salvar esta conexão em sua tabela de conexões por 75 segundos, que é o tempo que o TCP atribuiu como “timeout”. Os invasores usam esse ataque inundando o servidor com solicitações e preenchendo sua tabela de conexão TCP, até que não possa mais processar nenhuma conexão, pois há muitas em espera.
Ataques multivetoriais
Atualmente, os sistemas para realização de ataques DDoS são muito sofisticados. Os invasores controlam grandes “botnets”. Um “botnet” é uma rede infectada de dispositivos que geralmente possuem um “trojan” ou “backdoor” . Esses computadores são controlados a partir de um Centro de Controle (CC), e os hackers podem emitir um comando do CC para milhares de computadores que executarão o comando de uma só vez.
A maioria dos ataques DDoS usa uma combinação de vários ataques . Em nossa experiência neste campo trabalhando com operadoras, observamos que os ataques direcionados são muito sofisticados e difíceis de mitigar. Eles geralmente começam com ataques básicos e, à medida que as falhas são mitigadas e corrigidas, os padrões de ataque começam a mudar, usando uma combinação de vários ataques de vários endereços IP simultaneamente. Isso torna muito difícil distinguir esse tráfego ilegítimo do tráfego legítimo.
Eles também usam muitos dispositivos IoT projetados para operações muito específicas e geralmente não possuem medidas de segurança.
O aumento de IoT, IPV6 e linhas domésticas simétricas tornou muito fácil realizar ataques DDoS e muito barato para quem os contrata. Sem boas medidas de proteção e segurança, qualquer empresa pode ter prejuízos econômicos, por concorrência desleal, interesses contrários ou ser vítima de hacktivismo.
Deixe uma resposta