Você pode se proteger contra o roubo de identidade protegendo seu número de CPF e outros documentos confidenciais, revisando regularmente seus relatórios de crédito, usando uma
Um ataque de negação de serviço distribuída (DDoS) é uma tentativa de comprometer o tráfego normal de um servidor alvo. Isso é feito sobrecarregando o servidor, serviço ou rede alvo com uma inundação de tráfego da Internet, diminuindo a velocidade do servidor ou fazendo com que ele trave completamente. Pense nisso como um engarrafamento, o que faz com que todos os carros na estrada diminuam a velocidade ou parem. Em vez de diminuir a velocidade ou parar veículos, um ataque DDoS retarda ou interrompe o tráfego da web, fazendo com que um site ou aplicativo funcione de forma lenta ou trave completamente.
Como funcionam os ataques DDoS?
Os recursos de rede só podem lidar com um número finito de solicitações, e os servidores têm largura de banda limitada. Isso significa que o nível de serviço diminuirá sempre que o volume de tráfego ultrapassar o limite de capacidade.
Normalmente, o objetivo final de um invasor é obstruir completamente a operação normal da fonte da web. Além disso, o invasor também pode exigir que seja feito um pagamento para encerrar o ataque. O ataque também pode ser uma tentativa de desacreditar ou prejudicar a reputação de uma empresa.
Os ataques DDoS são realizados por meio de redes de máquinas, chamadas bots, conectadas à internet. Essas redes são compostas por computadores e outros dispositivos, como dispositivos da Internet das Coisas (IoT), que estão infectados com malware. Uma coleção de bots é chamada de botnet e, quando uma é criada, o invasor pode controlar um ataque dando comandos a cada bot remotamente.
Quando um servidor ou rede é alvo de uma botnet, cada bot envia consultas ao endereço IP, e isso faz com que o servidor ou rede fique sobrecarregado, resultando em um ataque DDoS ao tráfego regular. Como cada bot é um dispositivo legítimo da Internet, pode ser difícil distinguir o tráfego de ataque do tráfego normal.
Tipos de ataques DDoS
Embora a maioria dos ataques DDoS envolva inundar um dispositivo ou rede alvo com tráfego, existem três tipos principais de ataques. Dentro de cada tipo, também existem subtipos.
1. Ataques baseados em volume (volumétricos)
Um ataque volumétrico tenta ultrapassar a largura de banda de uma rede enviando muito tráfego ou solicitações para o alvo. Esses ataques visam sobrecarregar o alvo em um esforço para desacelerar ou interromper completamente os seus serviços. O tamanho da solicitação é normalmente de centenas de gigabits por segundo (Gbps). Ultimamente, os ataques mais recentes atingiram mais de um terabyte por segundo (Tbps).
Os ataques volumétricos são comuns devido à menor barreira técnica para produzir um volume excessivo de solicitações. Na maioria das vezes, os invasores usarão táticas de amplificação diretas. Quando esse tipo de tática é usado, o tráfego vem de diversas fontes, como endereços IP ou redes, tornando a mitigação manual de ataques volumétricos mais desafiadora.
Amplificação de DNS
A amplificação de DNS é um subtipo de ataque volumétrico. Durante esse tipo de ataque volumétrico, os invasores utilizam a funcionalidade de servidores DNS abertos. Uma vez lá dentro, o invasor sobrecarrega o servidor ou servidores alvo com uma quantidade excessiva de tráfego, tornando o servidor e a infraestrutura ao redor inacessíveis.
Inundação UDP
Uma inundação UDP é outro subtipo de ataque volumétrico. Durante esse tipo de ataque, o invasor envia uma imensidão de pacotes UDP (User Datagram Protocol), o protocolo de datagrama do usuário, para o servidor alvo, visando sobrecarregar a capacidade do dispositivo de processar as solicitações e responder. Isso pode levar ao esgotamento do firewall que protege o servidor alvo, resultando em uma negação de serviço ao tráfego legítimo.
2. Ataques de protocolo
Um ataque de protocolo utiliza solicitações de conexão maliciosas que aproveitam as interações de protocolo para tentar, usar e esgotar a capacidade de diferentes recursos de infraestrutura de rede, incluindo servidores e firewalls.
Inundação SYN
A inundação SYN é um subtipo de ataque de protocolo que busca esgotar completamente os recursos do servidor para torná-lo indisponível ao tráfego legítimo. Os invasores podem sobrecarregar todas as portas abertas em um servidor enviando pacotes de solicitação de conexão inicial (SYN) com frequência. Como resultado, o dispositivo alvo responde lentamente ao tráfego legítimo ou não responde.
Ping da morte
Outro subtipo de ataque de protocolo é chamado de “ping da morte”. Quando esse tipo de ataque ocorre, o invasor envia um grande pacote de dados maliciosos para o servidor alvo usando uma simples solicitação de ping. O que eles enviam é significativamente maior do que o servidor pode suportar e resulta na falha, desestabilização ou congelamento do servidor.
3. Ataques à camada de aplicação
O objetivo de um ataque à camada de aplicação é esgotar os recursos do alvo para produzir uma negação de serviço. O foco desses ataques é atingir a camada onde as páginas da web são criadas no servidor. O custo de processamento de uma única solicitação HTTP é baixo no lado do cliente, mas o custo de resposta no servidor de destino pode ser alto. Isso ocorre porque o servidor carrega frequentemente vários arquivos e consultas de banco de dados para gerar uma página da web. Os ataques à camada de aplicação são difíceis de mitigar, pois é difícil distinguir entre tráfego malicioso e legítimo.
Inundação HTTP
Um ataque de inundação HTTP é um subtipo de ataque à camada de aplicações que visa sobrecarregar um servidor alvo com solicitações HTTP. A negação de serviço ocorre quando o alvo fica saturado de solicitações e não é mais capaz de reagir ao tráfego legítimo.
Ataques baixos e lentos
Ataques baixos e lentos, também conhecidos como ataques de taxa lenta, são outro subtipo de ataques à camada de aplicação. Esse é um ataque furtivo ao servidor alvo que envia o que parece ser tráfego legítimo a uma taxa extremamente lenta, dificultando distinguir do tráfego normal, fazendo com que esse tipo de ataque passe frequentemente despercebido por longos períodos.
Identificando um ataque DDoS
Embora os cibercriminosos às vezes ameacem alvos antes de lançar um ataque DDoS, eles acontecem frequentemente sem aviso. Além disso, podem passar várias horas entre o momento em que o pessoal de segurança detecta um ataque DDoS e o momento em que o atenua. Isso pode resultar em inúmeras horas de serviço lento ou em um site ou aplicativo travado, o que pode afetar significativamente as impressões e as vendas do site.
Aqui estão alguns sinais de alerta de que um ataque DDoS pode estar em andamento.
- A análise de log mostra picos incomuns no tráfego, mas você não consegue identificar nenhuma explicação plausível para eles.
- Você experimenta ou começa a receber relatórios de clientes sobre desempenho lento do site. Além disso, se você usa a mesma conexão para sua rede interna, os funcionários também começarão a notar problemas de lentidão.
- Seu servidor responde com um erro 503 serviço indisponível. Quando o volume de tráfego diminui, esse erro normalmente desaparece. Depois de algum tempo, se ainda persistir, algo está errado.
- Certos endereços IP solicitam repetidamente muitas conexões em um curto período.
- Os usuários internos relatam acesso lento aos arquivos ou impossibilidade de acessá-los.
- Seu sistema de e-mail está sobrecarregado com e-mails de spam.
Como mitigar ataques DDoS
Diferenciar entre tráfego malicioso e legítimo é uma preocupação fundamental ao mitigar um ataque DDoS. Aqui estão algumas maneiras de mitigar ataques DDoS.
Crie um plano de resposta a ataques DDoS
Ao estar preparado para um ataque DDoS antes que ele ocorra, você saberá exatamente o que fazer se um ataque ocorrer. Em seu plano de resposta a ataques DDoS, você deve ter uma lista de verificação com todas as etapas que precisa seguir, com quem precisa entrar em contato e as ferramentas que deve utilizar. Seu plano de resposta também deve incluir as responsabilidades de cada pessoa de sua equipe. Ao atribuir responsabilidades desde o início, todos na sua equipe saberão o que fazer ao identificar um ataque DDoS. Ter um plano de resposta definido pode mitigar um ataque DDoS antes que haja qualquer dano permanente à sua organização.
Monitore o tráfego
Os ataques DDoS interrompem o tráfego de um servidor alvo, sobrecarregando o servidor com uma inundação de tráfego da Internet. Ao monitorar continuamente o tráfego do seu servidor ou rede com ferramentas de monitoramento, você pode identificar sempre que o tráfego atingir um determinado limite, recebendo um alerta ou notificação. Essa ferramenta não só ajuda a identificar ataques DDoS desde o início, mas também ajuda a mitigar os danos.
Limitação de taxa
Como os ataques DDoS usam botnets para sobrecarregar um servidor alvo, a limitação de taxa é útil para limitar o número de solicitações que um usuário ou bot pode fazer, medindo o tempo entre cada solicitação feita a partir de cada endereço IP. Quando há muitas solicitações feitas em um determinado período a partir de um único endereço IP, a ferramenta de limitação de taxa as bloqueia.