E Isto é um pesadelo – e este pesadelo tem nome: é um ataque DDoS.
Neste artigo, você vai aprender mais sobre este tipo de ataque, como ele funciona e como se proteger contra ele.
O que é DoS?
Para entender o que é um ataque DDoS, temos que entender o que é DoS. Sigla para Denial of Service (“negação de serviço”, em uma tradução livre), é usada para designar uma tentativa de romper um fluxo natural na rede entre um serviço, uma rede, um servidor web e o usuário.
Um cibercriminoso pode tentar atacar partes diferentes de um OSI (Open Systems Interconnection, “Interconexão de Sistemas Abertos”) para sobrecarregar uma rede e força-la a negar serviços e solicitações de usuários e consumidores legítimos.
É como um engarrafamento onde a rodovia principal fica congestionada por carros vazios, enquanto que veículos que realmente transportam pessoas não conseguem acesso a ela.
Antes, ataques de DoS eram feitos geralmente por um único criminoso. Hoje em dia, entretanto, com computadores, sistemas e servidores mais robustos e que comportam mais fluxo de pessoas, estes ataques são feitos por vários criminosos, simultaneamente. Desta evolução do DoS surgiram os ataques DDoS.
O que é um ataque DDoS e como ele funciona?
Um DDoS (Distributed Denial of Service, ou “negação de serviço distribuída”) é um tipo de ataque cujo objetivo é idêntico ao do DoS, ou seja, sobrecarregar uma rede, serviço, sistema ou servidor com tráfego artificial para congestionar estes serviços e negar solicitações de usuários legítimos.
Os ataques DDoS são mais poderosos que os do tipo DoS, já que eles utilizam vários computadores e dispositivos simultaneamente. Um criminoso pode criar uma rede inteira infectando e invadindo diversos dispositivos, transformando-os em bots e controlando-os remotamente para direcionar o tráfego até um endereço de IP, tudo de uma só vez, o que causa um crash (quebra) no serviço, que fica indisponível para pessoas reais.
Ataques DDoS são difíceis de rastrear porque partem de múltiplas fontes. Seu próprio dispositivo pode ser parte de uma rede de bots que executam comandos maliciosos, isto tudo sem que você sequer saiba. Como o tráfego parte de dispositivos legítimos (mas infectados), fica difícil separar o que é uma solicitação legítima e o que é uma solicitação de um bot.
Estes ataques podem ter como alvo componentes específicos de uma rede, ou vários elementos ao mesmo tempo. A maioria deles acontece contra três camadas de uma OSI:
Network layer: é a camada de rede, contra a qual são feitos ataques que incluem congestionamento de ICMP, fragmentação de IP/ICMP e ataques do tipo Smurf.
Transport layer: é a camada de transporte, e os ataques contra esta camada incluem congestionamentos de SYN e de TCP ou UDP, e exaustão da conexão.
Application layer: é a camada de aplicativo/aplicação, e as ameaças contra ela incluem principalmente ataques criptografados contra o HTTP.
Tipos de ataque DDoS
Os ataques DDoS podem ser subdivididos em quatro grupos ou tipos principais:
Ataques de conexão TCP: ataques de conexão TCP, também conhecidos como ataques de congestionamento SYN, que acontecem quando um handshake (“aperto de mão”, o processo de verificação entre o usuário e o servidor) entre o host e o servidor nunca é concluído, o que acaba causando a queda do serviço por sobrecarga.
Ataques volumétricos: são o tipo mais comum de ataque DDoS. Eles “simplesmente” consomem toda a banda disponível no alvo, causando sobrecarga por falta de recursos disponíveis. Em geral, são executados por botnets: os criminosos descobrem o endereço de IP das vítimas e, com eles, fazem múltiplas solicitações para um servidor DNS; quando o servidor DNS responde, ele envia mais fluxo de dados do que a vítima é capaz de suportar.
Ataques de fragmentação: os criminosos enviam vários pacotes de dados que viajam separadamente e se organizam de acordo com o tipo de protocolo de transporte TCP ou UDP usado pelo servidor; o ataque fragmentado envia pacotes de dados falsos para distorcer o fluxo de informações e, assim, sobrecarregar o servidor.
Ataques de camada de aplicação: são realizados contra aplicações/aplicativos, ou seja, a camada dos servidores que gera as páginas web e responde às solicitações HTTP; é como se várias pessoas solicitassem refresh (recarga) da página simultaneamente, o que causa uma sobrecarga e acaba provocando a queda do website
O DDoS é ilegal?
Na maioria dos países, o DDoS é uma prática ilegal. Nos Estados Unidos, por exemplo, ele pode ser considerado como um crime federal passível de penas que incluem prisão.
Na maior parte dos países europeus, quem pratica DDoS pode ser preso – no Reino Unido, isto pode resultar em penas de até 10 anos de prisão.
Dá para rastrear ataques DDoS?
É bem difícil rastrear e identificar os pontos de origem de um ataque DDoS, já que a maioria deles acontece de forma distribuída por milhares e milhares de dispositivos. Além do mais, quem faz estes ataques toma muito cuidado para evitar qualquer coisa que possa identificá-los.
Dá para identificar ataques DDoS quando eles acontecem usando certas ferramentas de segurança cibernética capazes de analisar o fluxo de dados. Mas, na maior parte dos casos, a identificação destes ataques acontece tarde demais.
Na melhor das hipóteses, é possível analisar os dados do ataque para programar mudanças de segurança mais eficientes para evitá-los no futuro.
Uma VPN pode ajudar a evitar ataques DDoS?
Geralmente, o DDoS é feito para chantagear desenvolvedores, empresas e outros grupos para danificar a reputação deles diante do público consumidor. Mas pessoas, individualmente, também podem sofrer com estes ataques, como o que acontece contra jogos online.
Não tem como se proteger totalmente contra um ataque DDoS mas, para jogos P2P, por exemplo, onde você se conecta diretamente com outros oponentes, o criminoso pode tentar descobrir seu endereço IP para praticar um ataque contra você.
Ao usar uma boa VPN, você pode alterar seu endereço IP para um servidor de outra parte do mundo e, assim, mascarar seu IP verdadeiro – o que impede o ataque DoS contra você.
