O que é negação de serviço?

Negação de Serviço ou DoS é um termo usado para descrever um ataque digital em uma máquina ou rede com o objetivo de torná-la inutilizável. Em muitos casos, isso significa inundar o destinatário com tantas solicitações ou tanto tráfego que causa um mau funcionamento. Às vezes, também pode significar o envio de uma quantidade menor de informações específicas e prejudiciais para desencadear uma falha, por exemplo.

Para explicar o processo com mais detalhes – uma máquina conectada a uma rede pode manipular ( ou seja, enviar e receber ) uma certa quantidade de tráfego e ainda funcionar. A quantidade de tráfego depende de vários fatores, como o tamanho das solicitações feitas e as informações transferidas. Bem como a qualidade e força da conectividade de rede.

Quando muitas solicitações são feitas, a rede terá dificuldade para acompanhar. Em alguns casos, as solicitações serão descartadas ou ficarão sem resposta. Se o excesso for muito alto, a rede ou a máquina receptora podem sofrer problemas, incluindo erros e desligamentos.

Tipos de Ataques

Existem muitos tipos diferentes de ataques DoS, com diferentes objetivos e metodologias de ataque. Alguns dos mais populares incluem:

Inundação SYN

Uma inundação de SYN ( pronuncia-se “pecado” ) é um ataque em que o invasor envia solicitações de conexão rápidas e repetidas sem finalizá-las. Isso força o lado receptor a usar seus recursos para abrir e manter novas conexões, esperando que elas sejam resolvidas. Isso não acontece. Isso consome recursos e reduz a velocidade ou torna o sistema afetado completamente inutilizável.

Pense nisso como responder a DMs - se um vendedor receber centenas de solicitações sobre um carro que deseja vender. Eles têm que gastar tempo e esforço para responder a todos eles. Se 99 deles deixarem a leitura do vendedor, o único comprador genuíno pode não obter uma resposta ou chegar tarde demais.

O ataque de inundação SYN recebe seu nome do pacote usado no ataque. SYN é o nome do pacote usado para estabelecer uma conexão via Transmission Control Protocol ou TCP que é a base da maior parte do tráfego da Internet.

Ataque de estouro de buffer

Um estouro de buffer ocorre quando um programa que usa qualquer memória que um sistema tenha disponível excede sua alocação de memória. Portanto, se ele estiver inundado com tanta informação, a memória alocada não será suficiente para lidar com isso. Ele, portanto, também sobrescreve os locais de memória adjacentes.

Existem diferentes tipos de ataques de estouro de buffer. Por exemplo, enviar um pequeno bit de informação para induzir o sistema a criar um pequeno buffer antes de inundá-lo com um bit maior de informação. Ou aqueles que enviam um tipo de entrada malformado. Qualquer forma disso pode causar erros, desligamentos e resultados incorretos em qualquer que seja o programa afetado.

ping da morte

O ataque de PoD com nome relativamente humorístico envia um ping malformado ou malicioso a um computador para causar seu mau funcionamento. Pacotes de ping normais têm cerca de 56-84 bytes no máximo. No entanto, essa não é a limitação. Eles podem ter até 65k bytes.

Alguns sistemas e máquinas não são projetados para lidar com esse tipo de pacote, o que leva ao chamado estouro de buffer que geralmente causa a falha do sistema. Ele também pode ser usado como uma ferramenta para injetar código malicioso, em alguns casos em que um desligamento não é o objetivo.

Ataques DoS distribuídos

Os ataques DDoS são uma forma mais avançada de ataque DoS – eles compreendem vários sistemas que trabalham juntos para executar um ataque DoS coordenado em um único alvo. Em vez de um ataque de 1 para 1, esta é uma situação de muitos para 1.

De um modo geral, os ataques DDoS têm maior probabilidade de sucesso, pois podem gerar mais tráfego, são mais difíceis de evitar e prevenir e podem ser facilmente disfarçados como tráfego "normal". Os ataques DDoS podem até ser feitos por proxy. Suponha que um terceiro consiga infectar a máquina de um usuário 'inocente' com malware. Nesse caso, eles podem usar a máquina desse usuário para contribuir com o ataque.

Defendendo-se contra ataques (D)DoS

Os ataques DoS e DDoS são métodos relativamente simples. Eles não exigem um grau excepcionalmente alto de conhecimento técnico ou habilidade do lado do atacante. Quando bem-sucedidos, eles podem impactar massivamente sites e sistemas importantes. No entanto, até mesmo sites do governo foram derrubados dessa maneira.

Existem várias maneiras diferentes de se defender contra ataques DoS. A maioria deles funciona de maneira semelhante e requer monitoramento do tráfego de entrada. Os ataques SYN podem ser bloqueados impedindo o processamento de uma combinação específica de pacotes que não ocorre nessa combinação no tráfego regular. Uma vez identificado como DoS ou DDoS, o blackholing é usado para proteger um sistema. Infelizmente, todo o tráfego de entrada ( incluindo solicitações genuínas ) é desviado e descartado para preservar a integridade do sistema.

Você pode configurar roteadores e firewalls para filtrar protocolos conhecidos e endereços IP problemáticos usados ​​em ataques anteriores. Eles não ajudarão contra ataques mais sofisticados e bem distribuídos. Mas ainda são ferramentas essenciais para impedir ataques simples.

Embora não seja tecnicamente uma defesa, garantir que haja bastante largura de banda sobressalente e dispositivos de rede redundantes no sistema também pode ser eficaz na prevenção de ataques DoS bem-sucedidos. Eles dependem de sobrecarregar a rede. Uma rede mais forte é mais difícil de sobrecarregar. Uma rodovia de 8 pistas requer mais carros para bloquear do que uma rodovia de 2 pistas, algo assim.

Uma boa parte dos ataques DoS pode ser evitada aplicando patches ao software, incluindo seus sistemas operacionais. Muitos dos problemas explorados são bugs no software que os desenvolvedores corrigem ou pelo menos oferecem mitigações. Porém, alguns tipos de ataque, como DDoS, não podem ser corrigidos por meio de patches.

Conclusão

Efetivamente, qualquer rede que se defenda com sucesso contra ataques DoS e DDoS o fará combinando um conjunto de diferentes medidas preventivas e contramedidas que funcionam bem juntas. À medida que os ataques e invasores evoluem e se tornam mais sofisticados, os mecanismos de defesa também evoluem.

A instalação, configuração e manutenção corretas podem proteger um sistema relativamente bem. Mas mesmo o melhor sistema provavelmente eliminará algum tráfego legítimo e deixará passar algumas solicitações ilegítimas, pois não há uma solução perfeita.