Utilizamos cookies e tecnologias semelhantes de acordo com a nossa Política de Privacidade e, ao continuar navegando, você concorda com estas condições.

OK

Ataque DDoS: como acontecem

03/09/2020 às 13:45 Hospedagem de Sites

Ataque DDoS: como acontecem

Os ataques DDoS (Distributed Denial of Device ou Ataques Distribuídos de Negação de Serviço) são ações realizadas por cibercriminosos,em geral visando derrubar sites e hospedagens de sites a partir de uma sobrecarga de acessos no sistema.

Com esse tipo de ação, os hackers lotam o servidor dedicado um uma quantidade irreal de pedidos, o que chega a tornar a conexão impossível devido ao alto fluxo de dados, como resultado os servidores acabam caindo e seu site fica fora do ar.

Em geral este tipo de ataque acontece com planejamento prévio, e o primeiro passo é a infecção de diversas máquinas que se tornarão bots a serviço de um usuário mal intecionado.

Esta rede de máquinas controladas é chamada de Botnet e os usuários muitas vezes sequer percebem que suas máquinas estão sendo utilizadas maliciosamente,

Embora parece um tipo de ação simples, existem diversos meios de exercer um ataque distribuído de negação de serviços ou DDoS.

Vamos enumerar os principais meios abaixo.

Distribuição de Negação de Serviço ou Método da negação distribuída

Logo que este método é escolhido, a intenção é abrir os meios de comunicação a partir de diversas máquinas da rede, a botnet. Aqui o hacker que possuir controle sobre as máquinas pode iniciar as solicitações a qualquer instante para derrubar um servidor.

Devido ao fato de diversas máquinas realizarem o ataque simultaneamente, até que o servidor dedicado se torne indisponível, esse método recebe o nome de Distribuição de Negação de Serviço.

Reflexão de tráfego

Neste modelo de ataque existe um tipo de oportunismo. Mas porquê? Bem, aproveita-se o período que os servidores respondem as solicitações dos protocolos DNS e NTP e foca-se todo o esforço em um único ponto.

Este tipo de ataque é comumente utilizado em larga escala e explora vulnerabilidades de segurança nos protocolos NTP, a partir disso então os ataques são dispersados pela rede de servidores que respondam a este protocolo.

Ainda em complemento, utiliza-se uma técnica simples que envia uma sobrecarga de dados inúteis pelos protocolos mais básicos de internet. Esse volume pode ser extremamente elevado e alcançar até 400 Gigabits por segundo.

ataque ddos

Handshake

Quando o funcionamento da máquina está normal é aberta uma linha de comunicação TCP com o servidor. A comunicação funciona a partir de uma resposta e em seguida o dispositivo completa o que chamamos de handshake.

Entretanto, se a máquina estiver sob ataque essa comunicação não é finalizada e o servidor dedicado se mantêm em espera.

Isso é feito visando reduzir a zero o fluxo de informações nos servidores ou no firewall e estes ataques são direcionados especialmente a camada 3 e 4 da pilha de protocolos. Confuso? Talvez você precise entender o que são os protocolos de rede.

Método UDP

Este tipo de ataque pode ser considerado um dos mais perigosos devido a velocidade com a qual acontece ao utilizar os servidores de DNS para iniciar. Enquanto a máquina utiliza o UDP (User Datagram Protocol) para resolver algum problema de URL, o hacker em questão tira vantagem das fraquezas nos pacotes de UDP e a partir disso formam um fluxo de mensagens que são enviadas ao servidor.

Obviamente, esses pacotes de dados são falsos, porém são suficientes para sobrecarregar o servidor, que acaba vindo a cair.

O servidor atrás da página

Devido a grande quantidade de trabalho que devem seralizar, servidores possuem uma grande capacidade de processamento de dados. Entretanto, essa capacidade não é ilimitada.

Assim como em qualquer outro dispositivo, em um servidor as placas de rede também serão limitadas a uma determinada taxa na troca de informaçõe, definindo um limite que quando ultrapassado resulta na queda de conexão.

Além dessa limitação das placas de rede, existe um limite de slots que determina também quantos usuários podem ser atndidos ao mesmo tempo. 

Embora já saibamos o príncipio dos ataques de DDoS, qual o objetivo desses ataques afinal? Bem, a verdade é que podem ter as mais variadas moticações, desde ataques para excluir informações essenciais do site, roubo ou sequestro de dados e quebra de páginas. 

É claro que, nestes casos os ataques visam em geral instituições com bom poder economico, já que estas ofercem um potencial de lucro no resgate de informações ou mesmo em vendas para concorrência. 

Botnets

A rede de máquinas infectadas, os botnets, é o pilar do ataque de distribuição negada. Sem uma botnet, é impossivel enviar uma grande quantia de solicitações simultaneamente, mas por outro lado com a botnet se torna praticamente impossível parar as solicitações sem a ajuda de um suporte especializado.

Enquanto isso, o hacker controla remotamente de sua máquina todos os seus bots ao mesmo tempo que os profissionais de suporte tentam criar protocolos que barrem o ataque.

Ataques a camada sete

Ataques a camada sete ou ataques a camada de aplicação são ataques focados na camada da pilha de procolos onde são criadas as páginas da internet e ocorre a troca de dados no formato de solicitações de HTTPS.

Este tipo de ataque é especialmente delicado de se defender, já que em meio a grande quantia de acessos simultaneos da botnet, também pode acontecer acessos reais. 

Como se proteger dos ataques de DDoS?

Uma vez que conhecemos os principais tipos de ataques DDoS, podemos definir uma polittica de segurança da informação e definir planos de ação para agir em situações específicas com protocolos e controles pré-definidos para cada modalidade de ataque.

O primeiro passo ao se defender de um ataque de distribuição negada é conseguir diferenciar o trafego real e organico dos bots. Porém esta é uma tarefa complexa já que o acesso da botnet pode estar atacando diversas camadas simultaneamente.

Além disso, o hacker pode mudar o direcionamento do trafego e sua estrategia de ataque a qualquer momento, e deixar de atacar várias camadas para focar em uma apenas.

Quando isso acontece é preciso direcionar algum plano de defesa para a cada camada que está sobre ataque. Uma possibilidade de ação defensiva é o roteamento blackhole. 

Essa prática é muito efetiva e pode anular rapidamente o ataque DDoS, porém também pode comprometer todo seu acesso organico durante aquele período.

Limitação de taxa

Outra boa ideia na hora de lidar com um ataque DDoS é alterar a limitação de taxa. Esta métrica define com quantas solicitações o servidor dedicado poderá lidar por um período no tempo. Logo, se essa taxa for limitada, você pode manter o trafego controlado por algum tempo e diminuir a velocidade com a qual os eu conteúdo é hackeado.

Embora essa ação não cesse o ataque DDoS, pode ser de grande ajuda para ganahr tempo valioso para tomar ações mais incisivas.

WAF

Já neste tipo de ação, a ideia é focar em defender a camada sete, colocando o firewall entre o provedor de hospedagem e a rede de internet. Ou seja, você basicamente utilizará um proxy reverso para filtrar as solicitações baseadas em regras pré definidas.

Difusão de rede anycast

Enfim, nessa defesa a estratégia é utilizar uma rede anycast para espalhar o tráfego de bots pela rede de servidores até que ele possa ser absorvido. Esse tipo de defesa se limita pela capacidade dos servidores e pela qualidade da rede.

Gostou de nosso post? Compartilhe: