Interromper o tráfego em um servidor pode ter grandes consequências. Com um ataque DDoS, os cibercriminosos forçam os sites a ficarem offline e os tornam inacessíveis. Ao enviar tráfego inflado artificialmente, eles podem bloquear aplicativos e até mesmo fechar os principais sites de notícias. Então, como funciona um ataque DDoS e como pode ser evitado?
Em um ataque de negação de serviço distribuído (DDoS), o agressor tenta causar tanta interrupção em um site ou aplicativo que seus usuários pretendidos não conseguem acessá-lo. Isso pode ser feito explorando pontos fracos do sistema e sobrecarregando servidores com grandes quantidades de tráfego.
A maioria dos ataques DDoS envolve a criação de uma espécie de engarrafamento online intransponível. Isso sobrecarrega a capacidade do site de lidar com solicitações novas e legítimas.
De cibercriminosos visando corporações a governos sabotando os aplicativos de mensagens dos manifestantes, há muitas maneiras de lançar esse tipo de ataque. Por exemplo, eles podem explorar bugs de codificação ou rotear o tráfego por meio de uma botnet. No entanto, o objetivo é sempre interromper e prejudicar o desempenho de um servidor.
O que é uma botnet?
Uma das estratégias de DDoS mais fáceis de entender é um ataque volumétrico – um método que depende de uma botnet. São redes de dispositivos que podem ser usadas para enviar dezenas ou até centenas de milhares de solicitações a um servidor.
Para construir uma botnet, o criminoso forçará o malware em vários dispositivos. Na maioria dos casos, os usuários nem percebem que seus telefones e laptops estão sendo infectados. Isso pode ser feito por meio de publicidade maliciosa, e- mails de phishing e outros métodos ilícitos.
Depois que alguém baixa o malware do invasor, seu dispositivo está pronto para se tornar parte de uma botnet. O hacker pode deixar esse software malicioso em seu dispositivo sem ser detectado até o eventual ataque DDoS.
Quando for a hora certa, e dispositivos suficientes estiverem carregando o malware, o invasor poderá lançar seu ataque em um servidor.
Para evitar que seu telefone ou laptop se torne parte de uma botnet, aqui estão alguns princípios básicos a serem seguidos:
Fique atento a e-mails suspeitos que contenham links.
Evite clicar em anúncios da internet, mesmo quando hospedados em sites respeitáveis.
Use um serviço como o CyberSec para rastrear conteúdo de alto risco.
Atualize seu software sempre que puder.
Diferentes tipos de ataque DDoS
Embora o resultado final seja geralmente o mesmo, existem muitas maneiras diferentes de encenar um ataque DDoS.
Inundação de SYN ou ataque de conexão TCP
Essa forma de ataque explora a conexão de handshake TCP. Em um “handshake” normal, o dispositivo de um usuário envia uma solicitação a um servidor e ele responde preparando os elementos da página solicitada. Em seguida, o servidor envia uma mensagem de volta ao dispositivo do usuário, confirmando que está pronto. Fundamentalmente, uma terceira comunicação deve então viajar para o servidor para concluir o processo e carregar a página.
Em um ataque DDoS, no entanto, essa terceira etapa é omitida. O servidor usa seus recursos para preparar os elementos da página, mas a mensagem final essencial nunca chega para concluir o processo. Em vez disso, outro handshake TCP é iniciado, e depois outro e mais outro. Eventualmente, o servidor gasta todos os seus recursos na preparação de elementos de página que nunca são apresentados ao usuário. E então ele paralisa.
Ataque de camada de aplicativo
Os ataques de camada de aplicativo, também conhecidos como ataques de camada 7, não atingem uma rede ou servidor inteiro. Em vez disso, eles visam funções específicas ou elementos de página em um site. Ao sobrecarregar determinados recursos em uma página, o invasor pode fazer com que partes de um aplicativo falhem ou funcionem mal.
Além de ter um impacto prejudicial no desempenho de um site, esse método foi usado no passado como uma técnica de distração. Ele força os proprietários e técnicos do site a se concentrarem no recurso de destino, enquanto outra violação mais séria está ocorrendo em outro lugar do servidor.
Ataque volumétrico
É aqui que uma botnet entra em jogo. O invasor acionará o malware que espalhou por vários dispositivos e encaminhará um fluxo de tráfego por meio de cada um. Então, eles atacarão o alvo com ondas de solicitações simultâneas.
Como o nome sugere, esse ataque tem tudo a ver com o grande volume de usuários artificiais tentando acessar um site. Ao ocupar toda a largura de banda disponível do servidor, o invasor pode impedir que qualquer usuário legítimo acesse o site, tornando-o inutilizável.
Ataque de fragmentação
Quando as informações viajam entre sites e servidores, geralmente são divididas em partes menores, enviadas em “pacotes” e depois remontadas pelo receptor. Isso pode criar uma oportunidade para um ataque de fragmentação, também chamado de lágrima.
Os invasores enviam deliberadamente pacotes de dados sobrecarregados que são grandes demais para serem remontados adequadamente. Isso tira proveito de um bug no código de remontagem de IP em determinados sistemas e pode resultar rapidamente em um estado de negação de serviço.
Como prevenir ataques DDoS
Como costuma ser o caso da segurança cibernética, não há uma solução mágica para interromper completamente esses ataques, mas ainda há muito o que você pode fazer. Com as melhores práticas, preparação cuidadosa e uma estratégia de segurança robusta, você pode reduzir os riscos e mitigar os danos.
Criar canais de estouro
Comece pela prevenção. Certifique-se de que você tenha servidores alternativos em espera para lidar com o estouro, reduzindo o risco de um deles travar. Construir esses canais extras significa que, se níveis anormalmente altos de tráfego inundarem os servidores, o fluxo poderá ser redirecionado. Isso permitirá que as operações no servidor principal continuem para que os usuários genuínos ainda possam acessar o serviço.
Mantenha-se atualizado com atualizações de segurança e patches
Os ataques DDoS geralmente tiram proveito de sistemas desatualizados e da falta de patches de segurança consistentes. Em um nível individual, quanto mais pessoas atualizarem seus próprios dispositivos, menor será a probabilidade de serem usados em uma botnet. Isso ocorre porque o malware para essas operações geralmente depende de software desatualizado como ponto de entrada.
Coloque um limite nos números de solicitação
Limite o número de solicitações que um servidor aceita por vez. Com um limite rígido no número de solicitações que um servidor processará, ele pode bloquear o ataque antes que fique incapacitado. Embora isso ainda resulte em uma negação de serviço temporária, será muito mais fácil colocar seu site ou aplicativo online novamente.
