No artigo a seguir, entenda o significado de Ataque de Negação de Serviço , o que é Ataque de Negação de Serviço e como funciona.
O que significa Ataque de Negação de Serviço?
O DDoS (Distributed denial-of-service, Ataque de Negação de Serviço) é um tipo de ataque de computador que usa vários hosts para sobrecarregar um servidor, fazendo com que um site sofra uma falha completa do sistema. É o crime cibernético de nível básico .
O Led Zeppelin não tocava junto há 19 anos. Quando anunciaram que fariam um show na O2 Arena em Londres em 1o de dezembro de 2007 , a excitação foi imensa. Tanto que 80.000 fãs de rock estavam tentando se registrar online para ingressos – por minuto! O site de venda de ingressos simplesmente não conseguiu lidar. Ele desistiu e caiu.
Um ataque DDoS – pronunciado dee-dos – faz exatamente isso. Ele inunda seu site – ou outro recurso voltado para a web – com tanto tráfego que ele simplesmente não consegue lidar.
Techopedia explica Ataque de Negação de Serviço
Esse site ou serviço foi tirado do ar, assim seu negócio sofrerá danos à reputação, capacidade operacional e, se for um site de comércio eletrônico, perda de receita. E essa perda de receita pode ser de longo prazo.
Se seus clientes tiverem que ir a um de seus concorrentes porque você não pode negociar, eles podem muito bem dar ao seu concorrente seus negócios repetidos.
Não se engane, um ataque DDoS é completamente debilitante para a vítima, mas surpreendentemente simples de conduzir.
Quem está por trás dos ataques DDoS?
Ataques DDoS podem ser realizados por agentes de ameaças de todos os tamanhos, desde grupos de Ameaças Persistentes Avançadas (APT) patrocinados pelo estado até hackers sem nenhuma qualificação.
Motivos dos ataques DDoS
1. Os motivos nem sempre são financeiros, mas o dinheiro é o motivo mais comum.
Um ataque típico deixará um site ou outro servidor ou serviço voltado para a internet offline por um período de tempo. Quando o ataque cessa, uma demanda de resgate é feita com a ameaça de que, se o resgate em criptomoeda não for pago, os ataques recomeçarão.
2. Outro motivo é o hacktivismo do guerreiro social . Grupos de hackers como o Anonymous atacarão uma organização porque não concordam com uma postura adotada ou promovida pela vítima.
Pode ser político, ético ou ecológico. Os hacktivistas usam DDoS como o equivalente digital de um sit-in estudantil ou um protesto em massa nos portões da organização que eles estão alvejando.
No entanto, essas não são brincadeiras alegres de estudantes. É ilegal conduzir um ataque DDoS. A legislação dos EUA é a Lei Federal de Fraude e Abuso de Computadores , com sentenças de até 10 anos de prisão e uma multa de US$ 500 mil.
No Reino Unido, a legislação relevante é a Lei de Uso Indevido de Computadores , que não traz diretrizes oficiais para sentenças, deixando ao juiz a liberdade de aplicar a punição que achar conveniente.
3. A vingança também é um motivo. O funcionário descontente, o ex-funcionário descontente ou mesmo a pessoa descontente que falhou na entrevista e nunca se tornou um funcionário pode facilmente executar um ataque DDoS contra uma empresa contra a qual tem uma queixa.
A vingança foi o motivo dos ataques DDoS severos e prolongados contra gigantes do setor financeiro dos Estados Unidos, como US Bancorp, Bank of America, Wells Fargo e outros. Os ataques começaram em setembro de 2012 e duraram duas semanas, intermitentemente. Algumas dessas organizações ficaram offline por dias a fio.
O ataque foi reivindicado por um grupo hacktivista até então inédito chamado Izz ad-Din al-Qassam Cyber Fighters , “a Espada Cortante da Justiça”. Pesquisadores cibernéticos atribuíram os ataques a um APT patrocinado pelo estado iraniano. Todas as indicações sugerem que o motivo foi vingança pelo famoso ataque cibernético Stuxnet contra a usina de enriquecimento de urânio em Natanz, Irã.
Os tipos de ataques DDoS
Assim como as muitas subcategorias de malware , há muitas subcategorias de ataques DDoS. Mas elas se enquadram em três categorias principais.
Ataques volumétricos
Esses são os ataques DDoS mais comuns. Eles sobrecarregam a largura de banda da rede do computador alvo bombardeando-o com solicitações de dados falsas.
Às vezes em uma porta, às vezes em todas as portas abertas. O computador ou dispositivo vítima deve tentar lidar com essas solicitações aparentemente legítimas, que ocupam 100 por cento de sua largura de banda e capacidades de processamento. Solicitações legítimas não podem ser atendidas, e o computador, dispositivo ou serviço alvo está essencialmente offline.
Normalmente, as mensagens enviadas para o computador da vítima são pacotes UDP ( User Datagram Protocol ) ou ICMP ( Internet Control Message Protocol ).
O UDP é adaptado para transmissão rápida de dados , o que o torna uma ferramenta essencial para agentes de ameaças. Ataques ICMP enviam mensagens de erro falsas ou solicitações falsas de informações e prendem o computador alvo enquanto ele tenta atender a todas essas solicitações falsas.
Ataques na camada de aplicação
A camada de aplicação é a camada mais alta, camada 7, do modelo de rede Open Systems Interconnection (OSI). Ela se preocupa com o software que interage com o tráfego de rede.
Esses ataques geralmente usam indevidamente o tráfego direto da web usando protocolos como Hypertext Transfer Protocol (HTTP), Secure Hypertext Transfer Protocol (HTTPS), Domain Name System (DNS) ou Simple Mail Transfer Protocol (SMTP).
Eles usam o mesmo princípio de inundar o computador ou dispositivo da vítima e sufocá-lo com interações de rede falsas, o que impede que o tráfego legítimo seja atendido.
Ataques de Protocolo
Um ataque de protocolo pode usar uma enxurrada de pacotes propositalmente malformados para tentar confundir e travar o dispositivo de destino, sobrecarregando buffers internos ou corrompendo tabelas de dados.
Outros ataques de protocolo fazem uso do chamado handshake de três vias, que ocorre quando uma conexão TCP/IP ( Transmission Control Protocol/Internet Protocol ) é solicitada, aceita e conectada.
A solicitação de conexão começa com um pacote SYN do computador que solicita a conexão. O receptor, neste caso, o computador de destino, responde com um pacote SYN+ ACK para reconhecer o pacote SYN.
O cliente reconhece o pacote SYN+ACK enviando um pacote ACK para o computador de destino. Eles então negociam velocidades de transmissão, protocolos, tamanhos de pacotes e assim por diante, e estabelecem uma conexão.
Um ataque de inundação SYN
Um ataque de inundação SYN é um ataque de protocolo que funciona enviando uma inundação de pacotes SYN para a máquina alvo. Ele responde com um pacote SYN+ACK para cada uma dessas solicitações e aguarda o ACK final de cada um dos dispositivos remotos.
Mas elas nunca são enviadas. Isso significa que cada uma dessas conexões falsas amarra recursos de rede dentro da máquina de destino até que cada uma das conexões incompletas expire.
Claro, com uma enxurrada de solicitações SYN atingindo implacavelmente o computador de destino, ele não pode aceitar nenhuma solicitação de conexão genuína.
Uma variação desse tipo de ataque é o ataque baixo e lento . Eles usam uma quantidade relativamente baixa de tráfego, então podem ser mais difíceis de identificar como um ataque direto.
Eles fazem um fluxo constante de solicitações de conexão com cada etapa de cada interação pausada pelo maior tempo possível, mas sem causar o tempo limite do computador de destino.
Então o computador alvo está funcionando, mas terrivelmente devagar, a ponto de nem ser. É como estar na fila do caixa de uma loja e cada pessoa na sua frente sendo propositalmente o mais lenta possível.
Pacotes de solicitação ICMP
Outra técnica é usar pacotes de requisição ICMP. Eles não são enviados para o computador da vítima, no entanto, são enviados para outras redes grandes.
Os pacotes ICMP solicitam que o pacote seja compartilhado com todo o hardware na rede. Então, a solicitação é replicada e enviada para todos os dispositivos em rede. A solicitação é para um dump de informações sobre cada dispositivo, que eles fornecem obrigatoriamente.
No entanto, a solicitação ICMP inicial foi forjada para parecer que foi enviada pelo computador da vítima. Todas as respostas de cada um dos dispositivos de rede são enviadas para o site da vítima, servidor ou outro serviço voltado para a internet.
Então, ao enviar um pacote, um dilúvio de informações pode ser enviado à vítima. Isso é conhecido como amplificação. Claro, o agente da ameaça usa um número considerável de redes grandes e inocentes para bombardear o computador alvo.
É como atacar uma vila na montanha indo até as colinas e cutucando a neve. A avalanche destrói a vila, e o agente da ameaça não teve nenhuma comunicação direta com a vila em si.
Ataques DDoS sofisticados
Ataques DDoS sofisticados podem usar uma mistura de ataques volumétricos, de camada de aplicação e de protocolo, tudo de uma vez. Como veremos, a maioria dos ataques DDoS não são sofisticados, mas ainda assim são devastadores.
Por que qualquer pessoa pode realizar um ataque DDoS
Existem vários pacotes de software de ataque DDoS que podem ser baixados facilmente e gratuitamente da web. Não da dark web . Você pode encontrá-los na web regular ou “clear web”.
Baixe-os, siga algumas instruções simples e pronto, você é um criminoso. Não é necessário conhecimento de TI ou cibernética.
Você pode obter o código-fonte para alguns programas DDoS do GitHub . Clone o repositório , compile o código-fonte e execute-os.
É necessário um pouco mais de conhecimento para isso, mas se você puder seguir uma lista simples de instruções, isso é possível para qualquer um com um pouco de experiência em TI. A imagem no topo deste artigo é uma seção do código-fonte de um desses programas.
Se você conseguir encontrar seu caminho para a dark web, você pode encontrar pontos de venda de DDoS-as-a-Service. Você os paga para montar as campanhas em seu nome. Normalmente, eles terão desenvolvido malware e infectado previamente tantos computadores (ou outros dispositivos em rede) quanto puderem.
Esses dispositivos infectados – chamados bots – podem ser usados em conjunto para gerar a enxurrada de tráfego necessária para derrubar um site. O dono do dispositivo infectado nem saberá que está contribuindo para um ataque.
Quanto mais bots o outlet DDoS-as-a-Service tiver, mais tráfego ele pode gerar. Deprimentemente, há serviços disponíveis por apenas US$ 20 por hora.
Como se proteger de ataques DDoS
Os métodos mais eficazes de proteção contra DDoS são baseados em nuvem. Os provedores de proteção contra DDoS mantêm redes extremamente rápidas que podem entregar muitos terabits de dados por segundo.
Como um proxy monumental , todo o tráfego para seu site – ou qualquer outro recurso de rede que você deseja proteger – é entregue pela rede do seu provedor de proteção DDoS.
Quando você sofre um ataque DDoS, o dilúvio de tráfego é distribuído entre seus muitos pontos de presença ou “centros de tratamento de dados”.
Eles são numerosos o suficiente e rápidos o suficiente para separar inteligentemente o joio do trigo em tempo real. Tráfego genuíno é permitido através do site ou servidor, e o tráfego DDoS é descartado.
Às vezes, esses serviços são reforçados com um firewall de aplicativo da web ou outras formas de defesa que variam de provedor para provedor.
Resultado Final
O ataque DDoS básico se tornou uma das formas de vingança digital mais procuradas. Há duas razões para isso. Primeiro, é simples realizar um ataque DDoS. Segundo, o perpetrador acha que seu crime é indetectável.
Embora não cometessem um crime físico por medo de serem pegos, eles acreditam erroneamente que a natureza digital do crime os protege da detecção e punição.
Mas um crime é um crime, e há uma grande diferença entre ser capaz de cometer um crime e ser capaz de escapar impune de um crime.
Esse tipo de criminoso cibernético ingênuo geralmente é pego — e pego rapidamente —, mas isso pode ser de pouco consolo para a vítima que foi colocada offline e perdeu receita, clientes e confiabilidade.