O que é um ataque de negação de serviço distribuído (DDoS)?

Um ataque DDoS degrada a infraestrutura inundando o recurso alvo com tráfego, sobrecarregando-o até o ponto de inoperabilidade ou enviando uma mensagem especificamente criada que prejudica o desempenho do aplicativo. Ataques DDoS podem ter como alvo infraestrutura de rede, como tabelas de estado de firewall, bem como recursos de aplicativos, como servidores e CPUs. Ataques DDoS podem ter consequências graves, comprometendo a disponibilidade e a integridade de serviços online e causando interrupções significativas, com potencial para perdas financeiras e danos à reputação. Esses ataques também podem ser usados como cortina de fumaça para distrair as equipes de segurança e risco da exfiltração de dados. 

Um ataque DDoS é como milhares de pessoas tentando entrar por uma porta ao mesmo tempo. O resultado é que ninguém consegue passar pela porta, nem mesmo pessoas que tenham um motivo legítimo para passar para o outro lado. Ou o ataque pode ser como uma única pessoa com uma chave que tranca a porta depois de passar, impedindo que qualquer outra pessoa entre. 

Ataques como esse geralmente são coordenados entre um grande número de computadores clientes e outros dispositivos conectados à rede. Esses recursos controlados pelo invasor podem ter sido configurados para esse propósito específico ou, mais provavelmente, foram infectados com malware que permite ao invasor controlar remotamente o dispositivo e incluí-lo em ataques.

Como o ataque vem de muitas fontes diferentes, pode ser extremamente difícil bloqueá-lo. Imagine, novamente, a multidão de pessoas se amontoando na porta. Simplesmente bloquear uma pessoa ilegítima (ou fonte de tráfego maliciosa) não ajudará, pois há milhares de outras pessoas para tomar o seu lugar. Avanços em estruturas de automação permitem ataques para falsificar endereços IP, números de sistemas autônomos (ASNs), agentes de usuários de navegadores e outras telemetrias para contornar os controles de segurança tradicionais. 

É importante distinguir entre ataques de negação de serviço distribuído (DDoS) e negação de serviço (DoS) . Ambos são tipos de ataques cibernéticos que visam interromper a disponibilidade de um sistema ou rede alvo, mas diferem na forma como os ataques são realizados. 

Um ataque DoS normalmente é iniciado a partir de uma única fonte ou de um pequeno número de fontes, com o invasor sobrecarregando o sistema ou rede alvo com uma enxurrada de tráfego ou solicitações, excedendo sua capacidade de lidar com eles.

Os ataques DDoS, por outro lado, envolvem múltiplas fontes ou uma botnet, que é uma rede de computadores ou dispositivos comprometidos sob o controle do invasor. O invasor coordena essas múltiplas fontes para lançar o ataque simultaneamente contra o alvo. Os ataques DDoS geralmente são mais difíceis de mitigar do que os ataques DoS porque vêm de várias fontes, o que torna difícil distinguir o tráfego legítimo do tráfego malicioso.

Embora o cenário de ameaças DDoS esteja em constante evolução, a F5 descobriu que a maioria dos ataques se enquadra nas seguintes categorias amplas. 

Ataques volumétricos estão entre os tipos mais comuns de ataques DDoS. Esses ataques têm como objetivo sobrecarregar a largura de banda da rede do alvo, inundando-a com um grande volume de dados ou tráfego. Essas técnicas incluem inundações de UDP (User Datagram Protocol), inundações de ICMP (Internet Control Message Protocol) e ataques de reflexão que aproveitam protocolos como NTP (Network Time Protocol), Memcached e DNS para amplificar a quantidade de tráfego recebido pelo alvo. A grande magnitude do tráfego satura a infraestrutura de rede do alvo, fazendo com que ela fique indisponível para usuários legítimos. Ataques baseados em inundação geralmente têm como alvo as camadas 3, 4 ou 7, sendo a inundação SYN um ataque muito comum que pode sobrecarregar firewalls de rede e outras infraestruturas de rede críticas. 

• Como exemplo de um ataque DDoS volumétrico, em 2018 o GitHub, a plataforma de desenvolvimento de software, sofreu um ataque DDoS volumétrico massivo que interrompeu seus serviços. O ataque atingiu um pico sem precedentes de 1,35 TBps, tornando-se um dos maiores ataques DDoS já registrados naquela época. Como resultado, o site e os serviços do GitHub sofreram interrupções intermitentes e degradação de desempenho.  

Ataques de protocolo , como aqueles que visam fraquezas na pilha de protocolos TCP/IP, que é a base da comunicação na Internet. Esses ataques visam especificamente a capacidade da infraestrutura de rede de rastrear e manipular o tráfego. Por exemplo, ataques de inundação SYN inundam o alvo com uma enxurrada de pacotes TCP SYN, sobrecarregando a capacidade do alvo de estabelecer conexões legítimas. Eles também são conhecidos como ataques “computacionais”, pois geralmente sobrecarregam a capacidade de computação de dispositivos de rede, como roteadores e firewalls.

• Em novembro de 2021, a F5 observou e mitigou o maior ataque de protocolo que a empresa já havia visto. O ataque, direcionado a um cliente de serviços financeiros, durou apenas quatro minutos e atingiu sua largura de banda máxima de ataque de quase 1,4 TBps em apenas 1,5 minuto. 

Ataques de vulnerabilidade de aplicativos , também conhecidos como ataques de Camada 7 , têm como alvo específico a camada de aplicativo da pilha de rede . Esses ataques se concentram na exploração de vulnerabilidades de software nos aplicativos ou serviços em execução no servidor de destino para esgotar os recursos do servidor, como CPU, memória ou conexões de banco de dados. Exemplos de ataques na camada de aplicação incluem inundações HTTP GET (envio de um grande número de solicitações HTTP), ataques slowloris (manter conexões abertas com solicitações parciais), inundações HTTP POST, renegociação TLS e consultas DNS.

• Um importante grupo hacktivista pró-Rússia conhecido como Killnet lançou um sofisticado ataque DDoS L7 contra uma grande organização europeia em fevereiro de 2023. O ataque teve como objetivo sobrecarregar os servidores da empresa com grandes quantidades de tráfego, dificultando o acesso dos usuários ao site, com tráfego de ataque atingindo o pico de 120.000 solicitações por segundo. Este ataque DDoS específico foi distribuído em 35 endereços IP diferentes e 19 países e se concentrou na camada de aplicação. 

Ataques assimétricos , também conhecidos como ataques reflexivos ou de amplificação, exploram a funcionalidade de certos protocolos de rede para amplificar o volume de tráfego de ataque. Em um ataque DDoS assimétrico, o invasor envia uma pequena quantidade de pacotes de rede especialmente criados para uma rede ou serviço vulnerável, normalmente usando um endereço IP de origem falsificado. Esses pacotes acionam a geração de respostas muito maiores do sistema ou rede alvo, resultando em um efeito de amplificação significativo.  

• Em fevereiro de 2021, cibercriminosos ameaçaram uma empresa de tecnologia que fornece serviços de segurança da informação para organizações de jogos e apostas com um ataque DDoS se a empresa não pagasse um resgate. Os invasores imediatamente lançaram um ataque de inundação SYN de 4 Gbps como um tiro de alerta; cinco dias depois disso, o cerco DDoS começou. Com duração de quase um mês inteiro, ataque após ataque continuou, com os agentes da ameaça adicionando cada vez mais vetores. Por fim, os ataques atingiram o pico de 500 Gbps e incluíram uma enxurrada multivetorial de ataques de UDP volumétrico, reflexão LDAP, reflexão DNS, reflexão NTP e fragmentação UDP.

Ataques multivetoriais , que utilizam mais de um dos métodos acima, estão se tornando cada vez mais comuns. Ao empregar mais de uma técnica de ataque, os invasores conseguem amplificar o impacto e aumentar a dificuldade de defesa contra múltiplos vetores de ataque simultaneamente.

• Em outubro de 2016, a Dyn, uma provedora de DNS que gerencia e direciona o tráfego da Internet, sofreu um grande ataque DDoS que interrompeu vários sites e serviços populares, incluindo Twitter, Reddit, Netflix e Spotify. Os invasores empregaram uma combinação de diferentes técnicas de DDoS, incluindo ataques de reflexão e amplificação de DNS, bem como botnets. O ataque explorou dispositivos IoT vulneráveis, como webcams e roteadores, que tinham medidas de segurança fracas ou credenciais de login padrão. Ao comprometer esses dispositivos, os invasores criaram uma enorme rede de botnet capaz de gerar enormes volumes de tráfego.

A seguir estão vários conceitos e definições importantes relacionados a ataques DDoS, mitigação e prevenção.

• Botnets são redes de computadores, servidores ou dispositivos comprometidos que estão sob o controle de um invasor. Esses dispositivos comprometidos, muitas vezes chamados de bots ou zumbis , são usados para lançar ataques DDoS coletivamente. O invasor pode comandar remotamente a botnet para inundar o alvo com tráfego ou solicitações, amplificando o impacto do ataque.
• A falsificação envolve falsificar ou disfarçar a verdadeira origem ou identidade de pacotes de rede ou comunicações. Em ataques DDoS, o spoofing é frequentemente usado para ocultar a origem do tráfego de ataque. 
• Inundação SYN é um ataque DDoS que explora o processo de handshake triplo do TCP para sobrecarregar os recursos do alvo. O invasor envia um alto volume de pacotes SYN para o alvo, mas não responde aos pacotes SYN-ACK ou falsifica os endereços IP de origem. Isso faz com que o sistema de destino espere por pacotes ACK que nunca chegam, ocupando seus recursos e impedindo que conexões legítimas sejam estabelecidas.
• A inundação de UDP (User Datagram Protocol) é um tipo de ataque DDoS que tem como alvo o protocolo UDP, que não requer conexão e não requer um handshake. Nesse ataque, o invasor envia um alto volume de pacotes UDP para a rede ou serviços do alvo, sobrecarregando seus recursos. 
• A amplificação de DNS (Sistema de Nomes de Domínio) é um tipo de ataque DDoS que explora vulnerabilidades em servidores DNS para gerar um volume significativo de tráfego de ataque. O invasor envia pequenas consultas DNS com endereços IP de origem falsificados para resolvedores DNS abertos vulneráveis. Esses resolvedores, sem saber da falsificação, respondem com respostas DNS maiores, amplificando o volume de tráfego direcionado ao alvo e sobrecarregando os recursos do alvo, podendo causar interrupções no serviço. 
• A mitigação de DDoS refere-se às estratégias e técnicas empregadas para se defender e minimizar o impacto de ataques DDoS. Soluções de mitigação podem envolver uma combinação de atualizações de infraestrutura de rede, filtragem de tráfego, limitação de taxa, detecção de anomalias e desvio de tráfego para absorver e mitigar o tráfego de ataque. As soluções de mitigação de DDoS fornecidas pela nuvem são particularmente eficazes para detectar e mitigar ataques antes que eles atinjam a infraestrutura e os aplicativos de rede. No entanto, devido aos recentes aumentos de DoS de aplicativos/L7, os controles de segurança também precisam ser implantados perto dos recursos protegidos. 
• Resposta a incidentes refere-se ao processo de detecção, análise e resposta a ataques DDoS. Envolve identificar sinais de um ataque em andamento, investigar a origem e a natureza do ataque, implementar medidas de mitigação e restaurar as operações normais. Os planos de resposta a incidentes ajudam as organizações a lidar efetivamente com ataques DDoS e minimizar seu impacto.

Ataques DDoS podem ter implicações graves para empresas, organizações e indivíduos. 

Ataques DDoS podem levar a perdas financeiras significativas . Quando os serviços são interrompidos ou ficam inacessíveis, as empresas podem sofrer impacto na receita devido a transações interrompidas, diminuição do envolvimento do cliente ou oportunidades perdidas. Além disso, as organizações podem incorrer em custos associados à mitigação do ataque, à realização de atividades de resposta e recuperação de incidentes e a possíveis penalidades regulatórias.

Ataques DDoS bem-sucedidos podem prejudicar a reputação de uma organização e minar a confiança do cliente. Se os serviços de uma empresa forem interrompidos ou indisponíveis repetidamente, os clientes podem perder a confiança na capacidade da organização de fornecer serviços confiáveis. Reconstruir a confiança e restaurar uma reputação danificada pode ser um processo desafiador e demorado.

Ataques DDoS podem causar interrupções operacionais graves . Organizações fortemente dependentes de serviços online podem enfrentar perdas de produtividade, pois os funcionários não conseguem acessar sistemas críticos ou colaborar de forma eficaz. Interrupções de serviço podem impactar as cadeias de suprimentos, o suporte ao cliente e as operações comerciais em geral, levando a atrasos, ineficiências e aumento de custos operacionais.

Ao investir em estratégias robustas de mitigação de DDoS e envolver profissionais de segurança cibernética para projetar e implementar medidas de segurança, as organizações podem reduzir significativamente o risco e o impacto de ataques DDoS bem-sucedidos, proteger sua estabilidade financeira e reputação e garantir a continuidade de suas operações.

A seguir estão algumas técnicas comuns de mitigação de DDoS usadas para defesa contra ataques. As organizações geralmente empregam uma combinação dessas metodologias para criar uma estratégia de defesa em camadas que pode efetivamente mitigar o impacto de ataques DDoS . A detecção precoce também é essencial para iniciar uma resposta rápida a incidentes e medidas de mitigação, permitindo que as organizações contenham o impacto antes que ele se agrave.

A filtragem de tráfego envolve examinar o tráfego de rede de entrada e aplicar filtros para bloquear ou permitir tipos específicos de tráfego. Essa técnica pode ser empregada em diferentes níveis, como roteadores de borda de rede, firewalls ou dispositivos dedicados de mitigação de DDoS. Ao filtrar tráfego malicioso ou indesejado, as organizações podem reduzir o impacto de ataques DDoS e ajudar a garantir que o tráfego legítimo chegue ao destino pretendido.

A limitação de taxa restringe o número de solicitações ou pacotes recebidos de uma fonte específica ou dentro de um período de tempo especificado. Ao impor limites de taxa, as organizações podem mitigar o impacto de ataques DDoS, evitando um fluxo excessivo de tráfego. 

A detecção de anomalias envolve o monitoramento de padrões e comportamento do tráfego de rede para identificar desvios dos padrões normais. Ele utiliza análise estatística e algoritmos de aprendizado de máquina para estabelecer o comportamento básico e detectar atividades anômalas que podem indicar um ataque DDoS. Sistemas de detecção de anomalias podem identificar picos de tráfego incomuns, inundação de pacotes ou outros padrões que indicam um ataque em andamento. 

A análise comportamental se concentra no monitoramento do comportamento de usuários, sistemas ou entidades de rede para detectar e identificar atividades suspeitas ou maliciosas . Técnicas de análise comportamental podem ajudar a diferenciar entre tráfego legítimo e tráfego de ataque, permitindo que as organizações respondam efetivamente a ataques DDoS e, ao mesmo tempo, minimizem falsos positivos. Essa análise pode ser realizada tanto no lado do cliente quanto no lado do servidor por meio de proxies inteligentes que detectam estresse no sistema que pode ser indicativo de um ataque de negação de serviço. 

A implantação de uma rede de distribuição de conteúdo (CDN) pode ajudar a mitigar o impacto de ataques volumétricos e fornecer disponibilidade e desempenho aprimorados. As CDNs podem usar sua infraestrutura de rede distribuída para identificar e bloquear tráfego malicioso, garantindo que solicitações legítimas cheguem ao alvo.

Balanceadores de carga e controladores de entrega de aplicativos (ADCs) também podem atuar como um mecanismo de defesa contra ataques DDoS, distribuindo e gerenciando o tráfego de forma inteligente. Os balanceadores de carga podem detectar e mitigar ataques DDoS aplicando várias técnicas, como limitação de taxa, modelagem de tráfego ou redirecionamento de tráfego para soluções especializadas de proteção DDoS. 

A implementação de serviços de proteção DDoS baseados em nuvem pode ajudar a fornecer recursos de mitigação dedicados e escaláveis para defesa contra ataques DDoS. Ao redirecionar o tráfego por meio desses serviços, as organizações podem se beneficiar de técnicas avançadas de mitigação, inteligência de ameaças em tempo real e da experiência de provedores especializados.

Outras práticas recomendadas para proteção contra ataques DDoS incluem habilitar o gerenciamento de solicitações do Protocolo de Controle de Transmissão (TCP) e do Protocolo de Datagrama do Usuário (UDP) para garantir que apenas solicitações legítimas sejam processadas. O monitoramento e o registro regulares ajudam a detectar ataques precocemente e podem mitigar quaisquer impactos negativos. Padrões de aumento de tráfego, erros ou atividades incomuns podem disparar alertas para investigação mais aprofundada. Criptografar o tráfego entre aplicativos e clientes pode dificultar a interceptação e a modificação do tráfego por um invasor. Atualizações regulares de software garantem que seus sistemas estejam protegidos pelos mais recentes recursos de segurança e patches para mitigar ameaças conhecidas, incluindo ataques DDoS.

À medida que os ataques DDoS continuam a crescer em escala e complexidade, as organizações precisam de várias camadas de proteção para impedir esses ataques antes que eles atinjam a rede corporativa. Frequentemente, esses ataques combinam tráfego de alto volume com técnicas de ataque furtivas, lentas e direcionadas a aplicativos, alimentadas por botnets automatizadas ou ferramentas conduzidas por humanos. À medida que a frequência desses ataques e o custo das interrupções continuam a aumentar, a importância de uma defesa holística e em camadas para mitigar esses ataques agora é essencial.

Aprenda sobre ataques DDoS na vida real e como eles foram mitigados assistindo ou lendo os seguintes estudos de caso.

• Saiba como a F5 interrompeu um ataque DDoS volumétrico de 26 Gbps em um provedor de e-mail.
• Leia como o Heritage Bank da Austrália implantou um conjunto de produtos F5 que oferece proteção DDoS 24 horas por dia, 7 dias por semana e atende às diretrizes regulatórias do banco.

À medida que os ataques DDoS continuam a evoluir , as organizações precisam se manter atualizadas sobre as últimas tendências e desenvolvimentos. 

Uma tendência recente tem sido a crescente prevalência de botnets de Internet das Coisas (IoT) . Dispositivos de IoT, como câmeras inteligentes, roteadores e aparelhos conectados, geralmente têm medidas de segurança fracas e são suscetíveis a comprometimento. Os invasores exploram vulnerabilidades nesses dispositivos para infectá-los com malware e alistá-los como parte de uma botnet. O poder computacional combinado de milhares de dispositivos IoT comprometidos pode gerar grandes volumes de tráfego de ataque DDoS. 

Ataques na camada de aplicação , que visam esgotar recursos do servidor ou explorar vulnerabilidades em aplicativos específicos, geralmente imitam o comportamento legítimo do usuário, tornando-os mais difíceis de detectar e mitigar. Ataques na camada de aplicação são particularmente difíceis de se defender porque exigem uma compreensão mais profunda do comportamento do aplicativo e exigem mecanismos de proteção especializados.

O surgimento de plataformas DDoS-as-a-Service tornou o lançamento de ataques DDoS mais acessível a indivíduos com menos habilidades técnicas. Essas plataformas são encontradas na Dark Web e fornecem interfaces fáceis de usar que permitem aos usuários alugar e implantar recursos de ataque DDoS, geralmente utilizando botnets de aluguel.