Quais os tipos mais comuns de ataques DDoS e como proteger sua empresa?

Qualquer empresa é um alvo em potencial para ataques DDoS (ataque de negação de serviço distribuído). Os afetados, geralmente, sofrem paralisações, levando à perda financeira e à degradação da reputação. Em alguns casos, o tempo de recuperação de uma empresa pode durar meses e acabar custando muito.

Um ataque DDoS é iniciado a partir de vários dispositivos comprometidos, geralmente distribuídos globalmente. Ele é diferente de outros ataques, pois usa um único dispositivo conectado à Internet para inundar um alvo com tráfego mal-intencionado.

Como o termo indica, a negação de serviço distribuída significa que ela recusa o serviço a um usuário legítimo. Se um site de serviço de metrô é derrubado, ele não serve às pessoas que querem reservar ingressos. Entenda, neste artigo, como funcionam os ataques DDoS e saiba como se proteger deles!

 

Quais são os tipos mais comuns de ataques DDoS?

Embora o DDoS ofereça um modo de ataque menos complicado do que outras formas de ataques cibernéticos, ele está se tornando mais forte e sofisticado.

Existem alguns tipos de ataques que podem ser baseados em volume, que usam alto tráfego para inundar a largura de banda da rede, ataques de protocolo, que se concentram na exploração dos recursos do servidor e ataques de aplicativos, que se concentram em aplicativos da web e são considerados o tipo mais sofisticado e sério de ataques. Confira, a seguir.

 

Ataques volumosos

Os ataques volumosos são, de longe, o tipo mais comum de ataques DDoS. Embora sejam caracterizados por uma enorme quantidade de tráfego (às vezes superior a 100 Gbps), eles não exigem uma grande quantidade de tráfego a ser gerada pelos próprios hackers.

Isso faz com que um ataque volumétrico seja o tipo mais simples de ataque DDoS. Ataques volumétricos baseados em reflexão direcionam um serviço enviando solicitações legítimas para um servidor DNS ou NTP usando um endereço IP de origem falsificado. Quando os servidores DNS ou NTP respondem à solicitação legítima, eles acabam servindo ao endereço de origem da solicitação, que por acaso é o endereço IP falsificado.

 

UDP Flood

O UDP Flood funciona em um princípio bastante básico. Os atacantes enviam um grande grupo de pacotes UDP para as portas aleatórias do servidor de destino. O servidor tem que responder a todos eles: essas são as regras. Primeiro, ele precisa verificar se algum de seus aplicativos está atendendo a comunicação nessas portas. Quando não encontra nenhum, o servidor precisa enviar de volta uma informação de que o destino estará indisponível.

 

NTP Flood

O NTP é outro protocolo de rede acessível ao público. O ataque de amplificação NTP também é realizado enviando pequenos pacotes que transportam um IP falsificado do alvo para dispositivos habilitados para internet que executam NTP.

Essas solicitações falsificadas são usadas para enviar inundações de UDP como respostas desses dispositivos para o destino. Quando o alvo tenta dar sentido a essa enxurrada de solicitações, ele acabará esgotando seus recursos e entrará em modo offline ou será reinicializado.

 

SYN Flood

Um SYN Flood é, normalmente, gerado por botnets e é projetado para consumir os recursos do servidor da vítima. Ao atacar o firewall ou outras defesas do perímetro, o invasor pode sobrecarregar seus limites de capacidade para desativá-los por meio de desconexões, queda de pacotes de tráfego legítimos ou reinicialização.

SYN Floods exploram o Protocolo de Controle de Transmissão (TCP) para causar estragos, inundando várias portas no sistema de destino com mensagens SYN solicitando a inicialização de conexões. O invasor, é claro, não tem intenção de responder e a conexão aberta acabará expirando e fechando — mas não antes que o sistema de destino esteja sobrecarregado com conexões incompletas.

 

Como evitar ataques DDoS?

Como você pode ver depois de examinar os ataques mais famosos, os ataques de DDoS não desaparecem. Na verdade, eles estão apenas crescendo e sendo mais destrutivos. Então, a melhor coisa que você pode fazer para evitar ser vítima de uma pessoa é aprender com os ataques que já aconteceram. Veja como você pode começar a pensar na proteção contra DDoS!

 

Fazer um investimento em largura de banda

De todas as maneiras de evitar ataques DDoS, a mais básica que você pode adotar é garantir que você tenha largura de banda suficiente para lidar com picos de tráfego que podem ser causados por atividades mal-intencionadas. Comprar mais largura de banda aumenta a barreira que os invasores precisam superar antes de lançar um ataque DDoS bem-sucedido, mas, por si só, não é uma solução para ataque DDoS.

 

Entender os fatores que fazem com que o ataque se torne viável

Se você executar seus próprios servidores, precisará identificar quando estiver sob ataque. Isso porque quanto antes você puder estabelecer que os problemas com seu site são causados por um ataque DDoS, mais cedo você poderá pará-lo. Para estar em condições de fazer isso, é uma boa ideia familiarizar-se com seu perfil típico de tráfego de entrada.

Quanto mais você souber como é seu tráfego normal, mais fácil será identificar quando o perfil mudar. A maioria dos ataques DDoS começam como picos acentuados no tráfego e é útil saber a diferença entre um surto repentino de visitantes legítimos e o início de um ataque DDoS.

 

Dispor de sistema de detecção de ataques de DDoS

No mercado existem vários equipamentos e programas para proteção a ataques DDoS. Entre eles, muitos fabricantes de firewall, ao qual dispõem módulo de detecção de ataque DDoS. Além de equipamentos/programas de firewall, também contamos com sistemas UTM que fazem esse mesmo papel.

A proteção do ataque DDoS é bem simples. O sistema detecta a quantidade de conexões “penduradas pelo mesmo IP” e quando esse número excede a um valor previamente configurado, o IP de origem é bloqueado automaticamente.

As conexões oriundas dele são “resetadas” pelo firewall, dessa forma “zerando” o número de conexões “penduradas no processo de handshake” do atacante. Esse processo é repetido para todos os IPs, dessa forma, o ataque DDoS se torna ineficaz.

Por fim, embora seja impossível impedir um ataque de alguém que esteja determinado a se infiltrar e derrubar seu sistema, as práticas básicas de segurança e a auditoria regular podem ajudar a evitar a possibilidade de um ataque bem-sucedido.

Para saber mais sobre como proteger informações dos clientes e dados sigilosos da organização de ataques DDoS, leia também o artigo sobre roubo de dados via engenharia social!