O que são os ataques DDoS?
Um ataque DDoS (Distributed Denial-of-Service) é uma tentativa maliciosa para perturbar o tráfego normal de um objetivo pontual como um servidor, um serviço ou uma rede (geralmente a rede do provedor) sobrecarregando o objetivo com uma quantidade excessiva de informação (por exemplo uma alta quantidade de pacotes PING). Um ataque de DDoS pode ser comparado com um congestionamento de tráfego travando a rodovia, impedindo que o tráfego habitual chegue ao destino final.
Na nova normalidade
As pesquisas indicam que desde o COVID-19 e o aumento do Work From Home (a nova normalidade) têm aumentado os incidentes e os esforços para causar interrupções de serviços tanto nas grandes empresas como em indivíduos. Os ISP estão se enfrentando cada vez mais a novas ameaças e desafios para descobrir tráfegos indetectáveis e/ou anormais antes de que se convertam em ataques baseados em reflexão (capazes de gerar tráfegos de até centos de gigabits por segundo).
No terceiro semestre de 2020, o número de ataques DDoS aumentou quatro vezes em comparação ao nível do primeiro semestre, antes do começo da pandemia e o desenvolvimento massivo do Work From Home, segundo estatísticas da empresa Cloudfare.
Na Ucrânia, uns meses atrás, um menino de 16 anos foi preso pela polícia logo de atacar o ISP local mediante um ataque de DDoS e tentar extorqui-lo ameaçando com distribuir informação pessoal de alguns dos clientes. O caso não foi o primeiro onde uma única pessoa, com poucos recursos consegue derrubar um ISP inteiro utilizando uma simples botnet (rede de dispositivos controlados) para DDoS. Nesse mesmo ano, houve também dezenas de casos na África com pequenos grupos ativistas derrubando as redes dos ISPs em países como Libéria, Camboja e África do Sul.
Tempo atrás foi descoberto também que um grupo de hackers conseguiu utilizar roteadores de uso pessoal com falhas de segurança (de marcas muito reconhecidas) no mundo inteiro como parte de uma botnet para ataques. Isto alertou também à comunidade, que percebeu que com o avanço do IoT, o dia de amanhã pode ser que até o nosso refrigerador seja parte de um ataque DDoS.
O desenho da internet, contempla que os hosts na última milha sejam quem tenham a inteligência para garantir os níveis de serviço, enquanto as redes intermediárias fornecem o mínimo serviço, no melhor esforço, o que deixa muitas vezes em mãos do provedor as medidas de segurança necessárias para segurar a rede.
Veja Também!
- Por que se preocupar com segurança de redes?
- Arquitetura de Segurança na Internet
- Biometria nas Redes dos ISP’s: Um passo à frente em segurança
Novos métodos de detecção de DDoS
As soluções ideais são aquelas que atuam na infraestrutura de rede, desviando o grande fluxo de dados maliciosos nos objetivos do ataque enquanto se permite que o tráfego normal continue.
A evolução dos métodos de defesa, está sendo dirigida para serviços utilizando Machine Learning e análise de pacotes: estudos demonstram que esses tipos de sistemas são capazes de prever um ataque com eficiência de mais de 99% utilizando os algoritmos de detecção corretos. Existem soluções de software capazes de fazer isto combinando várias tecnologias, mediante a realização de capturas esporádicas de tráfego na rede, análise dos resultados e comparação deles com tráfegos anteriores e padrões de ataques para descobrir tráfego indesejado e logo blocar os ofensores, garantindo a proteção tanto para o cliente como para o provedor.
Para Empresas que possuem serviços online, existem ferramentas mais básicas, que conseguem proteger um único serviço fazendo uso de serviços cloud que permitem monitorar a aplicação e blocar tráfegos indesejados se baseando também na análise dos pacotes.
Sem esse tipo de soluções o provedor geralmente tenta mitigar o ataque mediante redirecionamento do tráfego ofensor para rotas nulas (black-holing), ou colocando limitações de tráfego ou de pacotes para que o ataque não tenha sucesso, porém esse tipo de soluções geralmente são reativas e não preventivas.
A responsabilidade dos ISP
Os provedores devem ter um rol importante na luta contra atividades ilegais ou maliciosas na internet já que são tanto a primeira, como a última barreira para deter a entrada/saída de tráfego mal-intencionado desde e para a internet.
Além disto, segundo o marco civil, os provedores devem em caso de crime informar por obrigação legal os dados cadastrais dos usuários para que a investigação se efetive.
Segundo uma pesquisa realizada tampo atrás pela Corero (www.corero.com), o 89% dos provedores sentem-se responsáveis da aplicação de proteções contra DDoS tanto para segurança própria, como dos seus clientes, embora esses últimos sejam os mais afeitados nos ataques. Também, mais do 80% dos provedores da pesquisa expressaram que os mecanismos para defensa ante DDoS têm a mesma, ou maior importância do que outros tipos de proteções de segurança próprias ou para clientes.
Um exemplo clássico de ataques, é o dos servidores DNS: se o provedor não controlar corretamente seus servidores, eles podem estar respondendo consultas ilimitadas geradas por usuários de qualquer país (conhecidos como open resolvers). Esses tipos de servidores são frequentemente utilizados para ataques de DDoS, aproveitando a resolução de domínios para redirecionar tráfego malicioso para um objetivo em particular.
Segundo a CERT.br, entre 2018 e 2019 houve uma redução muito significativa de esse tipo de práticas mediante o Programa por uma Internet mais Segura mantido pela CGI.br e NIC.br (https://bcp.nic.br/i+seg/acoes/amplificacao/). Esperamos que esse tipo de iniciativas continue para que os novos ataques dessa nova normalidade fiquem atrás dentro de pouco tempo.
Adrian Lovagnini – Engenheiro em Telecomunicações com formação em Finanças. Atualmente é Assessor de Negócios TI e Consultor da VoIP Group – ingadrianlovagnini@gmail.com