O que é um ataque DDOS?

DDOS significa Distributed Denial-Of-Service. É um tipo de crime cibernético em que uma ou várias partes tentam interromper o tráfego de um servidor ou site. Para serem eficazes, eles não usam apenas um computador para atacar, mas geralmente toda uma rede deles.

Porém, não se trata apenas das máquinas do invasor - existem tipos de malware e vírus que podem afetar o computador de um usuário normal e torná-lo parte do ataque. Mesmo os dispositivos IoT não são seguros - se você tiver um dispositivo inteligente em sua casa, ele poderia teoricamente ser usado para esse tipo de ataque.

Como funciona?

A maneira mais simples de explicar os ataques DDOS é compará-los a congestionamentos. O fluxo normal do tráfego é interrompido porque dezenas (ou centenas, milhares, etc.) de carros inesperados se fundem na estrada principal sem deixar outros carros irem.

O congestionamento emergente impede que os drivers normais atinjam seus objetivos - em um evento DDOS, seria o servidor ou site que procuram.

Existem diferentes tipos de ataque que visam diferentes elementos da comunicação normal cliente-servidor.

Ataques de camada de aplicativo tentam exaurir os recursos do destino, forçando-o a carregar arquivos ou consultas de banco de dados repetidamente - isso torna o site mais lento e pode, em casos extremos, causar problemas com o servidor superaquecendo-o ou aumentando o uso de energia. Esses ataques são difíceis de se defender porque são difíceis de detectar - não é fácil dizer se um aumento no uso é devido a um aumento no tráfego genuíno ou a um ataque malicioso.

Ataques de inundação de HTTP são feitos essencialmente com a atualização de uma página do navegador repetidamente - exceto milhões de vezes. Essa enxurrada de solicitações para um servidor frequentemente resultará em sobrecarga e não responderá mais às solicitações (genuínas). As defesas incluem ter servidores de backup e capacidade suficiente para lidar com estouros de solicitações. Por exemplo, esse tipo de ataque quase definitivamente não funcionaria contra o Facebook porque sua infraestrutura é tão forte que pode lidar com ataques como esse.

Ataques de protocolo tentam exaurir um servidor consumindo toda a capacidade que coisas como aplicativos da web têm - repetindo solicitações para um elemento de um site ou serviço. Isso faz com que o aplicativo da web pare de responder. Freqüentemente, são usados ​​filtros que bloqueiam solicitações repetidas dos mesmos endereços IP para impedir a entrada de ataques e manter o serviço em execução para usuários normais.

Os ataques SYN Flood são feitos, em essência, pedindo repetidamente ao servidor para buscar um elemento e, em seguida, não confirmando o recebimento dele. Isso significa que o servidor se agarra aos elementos e espera pelo recibo que nunca chega - até que, eventualmente, não aguente mais e comece a soltá-los para pegar mais.

Os ataques volumétricos tentam criar congestionamento artificialmente, ocupando especificamente toda a largura de banda de um servidor. Isso é semelhante a ataques HTTP Flood, exceto que, em vez de solicitações repetidas, os dados são enviados ao servidor, mantendo-o muito ocupado para responder ao tráfego normal. Normalmente, os botnets são usados ​​para realizar esses ataques - eles também costumam usar a amplificação de DNS.

Dica: a amplificação de DNS funciona como um megafone - uma solicitação menor ou pacote de dados é apresentado como sendo muito maior do que é. Pode ser o invasor solicitando tudo o que um servidor tem a oferecer e, em seguida, pedindo que ele repita tudo o que o invasor pediu - uma solicitação relativamente pequena e simples acaba consumindo muitos recursos.

Como se defender contra ataques DDOS?

A primeira etapa para lidar com esses ataques é ter certeza de que eles estão realmente acontecendo. Identificá-los nem sempre é fácil, pois os picos de tráfego podem ser um comportamento normal devido a fusos horários, comunicados à imprensa e muito mais. Para fazer seus ataques funcionarem, os invasores DDOS tentam ocultar seu comportamento no tráfego normal, tanto quanto possível.

Outras rotinas para mitigar ataques DDOS são buracos negros, limitação de taxa e firewalls. Os buracos negros são uma medida bastante extrema - eles não tentam separar o tráfego genuíno de um ataque, mas redirecionam todas as solicitações para longe do servidor e depois as descartam. Isso pode ser feito na preparação de um ataque esperado, por exemplo.

A limitação de taxa é um pouco menos dura para os usuários - ela define um limite artificial para quantas solicitações um servidor aceitará. Esse limite é suficiente para permitir a passagem do tráfego normal, mas muitas solicitações são redirecionadas e descartadas automaticamente - dessa forma, o servidor não pode ser sobrecarregado. É também uma forma eficaz de impedir tentativas de quebra de senha de força bruta - depois de, digamos, cinco tentativas, a tentativa de endereço IP é simplesmente bloqueada.

Os firewalls não são úteis apenas para proteção em seu próprio computador, mas também no lado do servidor, fora do tráfego da web. Os firewalls de aplicativos da Web, em particular, são configurados entre a Internet e um servidor - eles protegem contra vários tipos diferentes de ataques. Bons firewalls também são capazes de configurar rapidamente respostas personalizadas aos ataques conforme eles acontecem.

Dica: Se você está procurando proteger seu site ou servidor de algum tipo de ataque DDOS, você vai querer um arranjo de soluções diferentes (provavelmente incluindo um firewall). A melhor maneira de fazer isso seria consultar um consultor de segurança cibernética e fazer com que ele propusesse um plano personalizado adequado às suas necessidades. Não existe uma solução única para todos!