KNOWLEDGE CENTER

Ataques DDoS

Conteúdo Relacionado

O que é ataque DDoS?

DoS é a abreviação de Denial of Service, em inglês, ou ataque de negação de serviço, em português. Esse tipo de ataque tem o objetivo de saturar a banda ou sobrecarregar equipamentos, limitando a capacidade ou indisponibilizando o serviço, servidor ou rede alvo.

A sigla também pode vir acompanhada de mais um “D”: DDoS que, em inglês, é a abreviação de Distributed Denial of Service ou ataque distribuído de negação de serviço, em português, que significa que várias máquinas são utilizadas para fazer requisições simultâneas.

Atualmente, os ataques DDoS são mais utilizados, pois o impacto causado por eles e a complexidade para mitigação são maiores. Além disso, é mais difícil rastrear sua origem, pois geralmente são utilizadas técnicas de spoofing de endereço IP, que mascara os pacotes de IP utilizando endereços de remetentes falsos.

Barato, escalável e capaz de causar grandes estragos

Com um cartão de crédito é possível contratar um pacote mensal, com o valor de aproximadamente R$ 70 e com capacidade de gerar ataques de até 250 GB com disparos a cada 5 minutos. Hoje em dia, sites que vendem esse tipo de serviço são facilmente encontrados na web.

Exemplos reais

O Tribunal Superior de Justiça (TSJ) brasileiro foi alvo de DDoS durante o primeiro turno das eleições de 2020. Teve 463 mil conexões por segundo e tempo total de ataque de 20 minutos, de acordo com reportagem do jornal O Estado de S. Paulo.

Outro destaque em 2020 foi a descoberta que o Google também foi alvo de DDos em 2017. Com 2.54 Tbps, a companhia alega que esse foi o maior ataque desse tipo mitigado até hoje por eles.

O Telegram, aplicativo de mensagem com mais de 200 milhões de usuários, sofreu em 2019 instabilidades por algumas horas por causa de ataques de negação de serviço na região das Américas que sobrecarregaram os servidores no qual a plataforma está hospedada nessa região e prejudicaram a troca de mensagens entre seus usuários, inclusive em países fora dessa localidade.



No início da pandemia da COVID-19, também se teve notícia de que até o Departamento de Saúde e Serviços Humanos dos Estados Unidos (HHS) sofreu com ataques DDoS, que tinham como objetivo tirar o site do ar para prejudicar a divulgação de informações sobre o coronavírus à população norte-americana, e promover a disseminação de fake news no lugar.



Incidência de ataques DDoS no Brasil

Um levantamento feito pela UPX em 2020, identificou que a incidência de ataques foi três vezes maior que no ano de 2019. Foram registrados 493.923 incidentes desse tipo nesse ano, quase 3 vezes mais do que o registrado no mesmo período do ano anterior, quando foram registrados 182.896 incidentes do mesmo tipo.

Mas afinal, qual é a motivação desse tipo de ataque?

Eles podem ter diversos objetivos, como por exemplo, prejudicar um concorrente de mercado, podem ser usados como forma de protesto ou somente por diversão. A questão é que, para sofrer um ataque, basta estar conectado à internet. O importante é não esperar que a rede seja atacada para se proteger.

Sabe como identificar um ataque?

Os ataques DDoS podem causar efeitos colaterais antes de paralisar uma rede por completo.



1. Ataques volumosos ou Flood

TCP SYN Flood

É o método utilizado para sobrecarregar a capacidade computacional do alvo enviando sucessivos pacotes SYN e ignorando os passos seguintes do three-way-handshake. Em conexões legítimas, o usuário envia um pacote SYN para um servidor solicitando a conexão, esse servidor reconhece a conexão enviando um pacote SYN-ACK de volta. Por último, o usuário responde com um pacote ACK, estabelecendo assim o three-way-handshake. A sobrecarga ocorre, pois o alvo irá aguardar pelos pacotes ACK para estabelecer a conexão. A quantidade de conexões pendentes irá, eventualmente, exceder os recursos computacionais do equipamento, ocasionando a negação de serviço.



Ataque TCP SYN Flood - envio sucessivo de pacotes SYN, que não obtêm a resposta do three-way-handshake para estabelecer a comunicação, sobrecarregando a capacidade computacional do alvo.

UDP Flood
Um dos métodos mais comuns de ataques DDoS. O ataque consiste no envio de um alto volume de tráfego UDP, podendo inclusive utilizar técnicas que combinem a fragmentação de pacotes. O objetivo principal desse tipo de ataque é saturar a banda do alvo.

ICMP Flood
São ataques DDoS que enviam um número grande de pacotes ICMP de qualquer tipo para causar uma sobrecarga no servidor de destino, que tenta processar cada solicitação ICMP de entrada.

2. Ataques de amplificação

Ataques de amplificação utilizam características específicas de protocolos de rede para multiplicar seu poder de ataque, sendo necessários relativamente poucos recursos para que sejam nocivos ao alvo. Através de técnicas de spoofing de IP, o atacante falsifica o endereço de origem e faz requisições a vários servidores ao mesmo tempo. Como os servidores acham que o alvo foi o requisitante da informação, todos respondem ao endereço de origem da requisição, congestionando a rede do alvo do ataque.



Ataques de amplificação (spoofing de IP) - o atacante falsifica o endereço de origem e faz requisições a vários servidores ao mesmo tempo.

Confira os protocolos mais utilizados em ataques de amplificação e seus respectivos fatores: