Quando você ouve dizer que um site foi derrubado por um ataque hacker, há grandes chances de que um ataque DDoS tenha sido usado para fazer isto. Se você ainda não está familiarizado com o termo, vamos fazer uma analogia simples.
Pense que o seu negócio é uma pizzaria e o seu site é a linha telefônica. O que se espera do funcionamento normal da linha telefônica é que os clientes liguem, peçam uma pizza e você entregue normalmente quando ela estiver pronta, mesmo em dias de grande demanda. Agora imagine que por algum motivo, um sujeito mal intencionado orquestrasse um trote sincronizado onde um grupo de pessoas passariam a realizar ligações falsas através de diferentes linhas de telefone, com o simples intuito de sobrecarregar a sua linha e tomar o tempo dos atendentes de sua pizzaria. A “pegadinha” certamente prejudicaria a eficiência dos serviços fornecidos para seus clientes legítimos. É esse o princípio de funcionamento de um ataque de negação de serviço distribuído (DDoS). Trata-se de uma tentativa de tornar um serviço online indisponível sobrecarregando-o com tráfego de várias fontes ilegítimas. Como o volume de tráfego gerado por ele é volumétrico, o alvo é sobrecarregado rapidamente.
Ataques DoS vs DDoS
Os ataques de negação de serviço (DoS) e negação de serviço distribuído (DDoS) estão entre as ameaças mais intimidantes que as empresas modernas enfrentam. O objetivo de ambos não difere: tanto em um quanto no outro a intenção é sobrecarregar um site/sistema com uma enxurrada de tráfego ou solicitações maliciosas esperando que algo eventualmente falhe. A principal diferença entre eles é que um ataque DoS é um ataque realizado sistema a sistema e é o precursor dos ataques DDoS modernos, enquanto no DDoS um sistema alvo é bombardeado com pacotes de vários locais.
É mais fácil de mitigar um ataque DoS porque as solicitações falsas provêm de uma única fonte maliciosa. Voltando ao exemplo da pizzaria. Se o autor da pegadinha realizasse o ataque usando uma única linha telefônica, seria naturalmente mais fácil identificar a origem das chamadas, bloquear o número telefônico e poder voltar a operar normalmente. Rastrear a origem real de um DDos por sua vez não é tão simples porque os sistemas invasores são distribuídos aleatoriamente, utilizando máquinas zumbis ou bots, dessa forma é praticamente impossível interromper o ataque simplesmente identificando e bloqueando um único endereço IP.
Como os ataques DDoS podem ser detectados e evitados?
Não há indicação de que os ataques DDoS possam diminuir com o tempo, pelo contrário. É comum, inclusive, que algumas organizações sejam atacadas mais de uma vez e experimentem formas de comprometimento adicionais. Um DDoS por si só já costuma ser bem severo. O reconhecimento do ataque pode levar horas e resultar num comprometimento significativo para a organização.
Para entender os métodos de ataque que provavelmente serão mais eficazes contra seu serviço e estar protegido é necessário que você pense em proteção multinível que inclua gerenciamento de prevenção com utilização de firewalls, VPNs, filtragem de spam e outras camadas de segurança que possam monitorar instabilidades no tráfego que podem ser sinais de ataques DDoS.
Existem três categorias básicas de ataque DDoS:
- Ataques baseados em volume de tráfego onde o servidor é sobrecarregado com um fluxo de requisições volumétrico;
Ataques de protocolo que são projetados para consumir a capacidade de processamento dos recursos de rede, como servidores, firewalls e balanceadores;
Ataques de aplicativos que tem como alvo um aplicativo e vulnerabilidades específicas, de modo que o aplicativo não pode se comunicar e/ou entregar conteúdo ao(s) usuário(s). Os aplicativos comumente direcionados são servidores web.
Algumas boas práticas podem ajudar a manter um plano de resposta pronto para gerenciar um ataque:
Conheça o tráfego da sua rede e torne sua rede resiliente;
Realize auditorias regulares de segurança;
Desenvolva um plano adequado de reação a ataques DDoS;
Mantenha uma boa higiene cibernética;
Aumente sua largura de banda;
Utilize hardware e o software anti-DDoS;
Fique atento aos sinais de um ataque.
Embora seja um tipo de ameaça testada pelo tempo, na medida que as organizações adotam soluções para se proteger dos tipos mais simples de ataques, os cibercriminosos lançam novas técnicas e geram problemas mais complexos de resolver, por isso é difícil para qualquer organização ficar à frente dos riscos emergentes e as defesas de ontem possivelmente não serão capazes de proteger os sistemas hoje.
Referências:
https://www.fortinet.com/resources/cyberglossary/dos-vs-ddos
https://www.kaspersky.com.br/resource-center/threats/ddos-attacks
