Knowledge Center

Aprenda sobre ataques DDoS

Tudo o que você precisa saber sobre esse tipo de ataque cibernético

O que é ataque DDoS?

DoS é a abreviação de Denial of Service, em inglês, ou ataque de negação de serviço, em português. Esse tipo de ataque tem o objetivo de saturar a banda ou sobrecarregar equipamentos, limitando a capacidade ou indisponibilizando o serviço, servidor ou rede alvo.

A sigla também pode vir acompanhada de mais um “D”: DDoS que, em inglês, é a abreviação de Distributed Denial of Service ou ataque distribuído de negação de serviço, em português. Quando um ataque de negação de serviço é distribuído, significa que várias máquinas são utilizadas para fazer as requisições simultâneas.

Atualmente, os ataques DDoS são mais utilizados, pois o impacto causado por eles e complexidade para mitigação são maiores. Além disso, é mais difícil rastrear sua origem, pois geralmente são utilizadas técnicas de spoofing de endereço IP, que mascara os pacotes de IP utilizando endereços de remetentes falsos.

Barato, escalável e capaz de causar grandes estragos

Com cerca de R$ 70 e um cartão de crédito é possível contratar um pacote mensal com capacidade de gerar ataques de até 250 GB com disparos a cada 5 minutos. Hoje em dia, sites que vendem esse tipo de serviço são facilmente encontrados na web.

Notícias de que serviços do governo, aplicativos de mensagens e redes sociais são alvo desse tipo de ataque têm sido cada vez mais comuns. Somente em 2019, foram reportados para o CERT.Br 875.327 ataques DDoS no Brasil. Esse número é 29% maior que 2018, de acordo com o site do NIC.br.

Exemplos reais

O Telegram, aplicativo de mensagem com mais de 200 milhões de usuários, sofreu em 2019 instabilidades por algumas horas por causa de ataques de negação de serviço na região das Américas que sobrecarregaram os servidores no qual a plataforma está hospedada nessa região e prejudicaram a troca de mensagens entre seus usuários, inclusive em países fora dessa localidade.

Mensagem oficial do perfil do Telegram no Twitter informando sobre a ocorrência e impactos ocorridos durante os ataques DDoS.

No início da pandemia da COVID-19, também se teve notícia de que até o Departamento de Saúde e Serviços Humanos dos Estados Unidos (HHS) sofreu com ataques DDoS (negação de serviço), que tinham como objetivo tirar o site deles do ar prejudicando a divulgação de informações sobre o coronavírus à população americana e promover a disseminação de fake news no lugar. 

Resposta oficial do departamento americano sobre o ataque DDoS sofrido em março no país.

Mas afinal, qual a motivação desse tipo de ataque?

Eles podem ter diversos objetivos, como por exemplo, prejudicar um concorrente de mercado, podem ser usados como forma de protesto ou somente por diversão. A questão é, para sofrer um ataque, basta estar conectado à internet. O importante é não esperar que a rede seja atacada para se proteger.

Sabe como identificar um ataque?

Os ataques DDoS podem causar efeitos colaterais antes de paralisar uma rede por completo.

Indisponibilidade temporária na sua rede

Perda de performance

Aumento de tráfego inesperado

Roteador reiniciando sozinho

E quais são os tipos de ataques DDoS mais comuns?

1. Ataques volumosos ou Flood

TCP SYN Flood

É o método utilizado para sobrecarregar a capacidade computacional do alvo enviando sucessivos pacotes SYN e ignorando os passos seguintes do three-way-handshake. Em conexões legítimas, o usuário envia um pacote SYN para um servidor solicitando a conexão, esse servidor reconhece a conexão enviando um pacote SYN-ACK de volta. Por último, o usuário responde com um pacote ACK, estabelecendo assim o three-way-handshake. A sobrecarga ocorre, pois o alvo irá aguardar pelos pacotes ACK para estabelecer a conexão. A quantidade de conexões pendentes irá, eventualmente, exceder os recursos computacionais do equipamento, ocasionando a negação de serviço.

Ataque TCP SYN Flood - envio sucessivo de pacotes SYN, que não obtêm a resposta do three-way-handshake para estabelecer a comunicação, sobrecarregando a capacidade computacional do alvo.

UDP Flood

Um dos métodos mais comuns de ataques DDoS. O ataque consiste no envio de um alto volume de tráfego UDP, podendo inclusive utilizar técnicas que combinem a fragmentação de pacotes. O objetivo principal desse tipo de ataque é saturar a banda do alvo.

ICMP Flood

São ataques DDoS que enviam um número grande de pacotes ICMP dequalquer tipo para causar uma sobrecarga no servidor de destino, que tenta processar cada solicitação ICMP de entrada.

2. Ataques de amplificação 

Ataques de amplificação utilizam características específicas de protocolos de rede para multiplicar seu poder de ataque, sendo necessários relativamente poucos recursos para que sejam nocivos ao alvo. Através de técnicas de spoofing de IP, o atacante falsifica o endereço de origem e faz requisições a vários servidores ao mesmo tempo. Como os servidores acham que o alvo foi o requisitante da informação, todos respondem ao endereço de origem da requisição, congestionando a rede do alvo do ataque.

Ataques de amplificação (spoofing de IP) - o atacante falsifica o endereço de origem e faz requisições a vários servidores ao mesmo tempo.

Confira os protocolos mais utilizados em ataques de amplificação e seus fatores de amplificação:

Fonte: US-Cert - https://www.us-cert.gov/ncas/alerts/TA14-017A

3. Ataques de fragmentação

Ataques de fragmentação são ataques que envolvem o envio de grandes pacotes, com tamanho superior ou muito inferior ao MTU da rede. Quando o pacote é muito grande, ele é fragmentado e o atacante pode manipular a informação contida nele impedindo que o alvo consiga remontar o pacote original. Esse tipo de ataque geralmente é utilizado combinado a outros tipos de ataques e pode visar a saturação de banda ou de recursos computacionais do alvo.

E por que é importante sua empresa estar protegida contra eles?

É importante não esperar que a rede seja atacada para se proteger, e agir de forma preventiva. Assim, sua empresa estará preparada caso seja alvo desse tipo de ataque ou caso alguém use seus IPs indevidamente para originá-los. 

O investimento em ferramentas e soluções de mitigação DDoS são de grande valia, pois evitam impactos em cadeia que prejudicam a credibilidade de um negócio quando a rede dele é alvo de ataques.

Veja o exemplo de um provedor de internet que tem sua rede afetada por intermitência ou queda de conexão durante um ataque. Seus clientes também passam a sofrer com a indisponibilidade da rede e acionam o suporte técnico para reportar e solucionar o problema. 

Se esse provedor tem uma solução de mitigação DDoS como a da UPX, ele evita que sua rede seja afetada ou fique indisponível durante um ataque e, consequentemente, a abertura de chamados por incidentes dessa natureza, deixando seus clientes satisfeitos com a entrega do serviço, evitando que eles migrem para a concorrência por insatisfação e também prejuízos financeiros.  

O exemplo acima se aplica para qualquer negócio em que a disponibilidade de rede e a conexão de internet sejam essenciais para sua atividade fim.

Mitigação DDoS: mantenha sua rede operando durante um ataque

O que não fazer para mitigar um ataque de negação de serviço

Antes de dizer qual é o melhor método para mitigar um ataque DDoS é fundamental você entender porque o blackhole não é a melhor forma de mitigação anti-ddos.

O blackhole tira o IP do ar para bloquear o ataque, com isso o tráfego de entrada ou de saída atrelado ao IP em questão é descartado por completo. Sendo assim, o ataque é bloqueado, mas o problema continua, pois a rede também fica indisponível e, por consequência, todos os serviços dela.

A mitigação certa para cada rede

Cada rede tem um perfil de tráfego e, dependendo da complexidade da infraestrutura, mais trabalhosa é a ativação de um serviço de mitigação. Por isso, antes de definir os filtros e métodos de mitigação de ataques, a UPX realiza um estudo da rede em questão e só então define a metodologia de atuação.

Processo dinâmico e eficiente

A combinação dinâmica de tecnologias baseadas em hardware, nuvem e híbridas é a melhor estratégia para combater os ataques DDoS, pois dependendo das características é possível decidir quais dessas serão usadas para realizar a mitigação ou mesmo combiná-las para ter mais eficiência.

Proteção inteligente e personalizada

A mitigação anti-DDoS da UPX é always-on nas camadas 3, 4 e 7 da internet com a inspeção e análise em níveis, algoritmos inteligentes e filtros, antes de considerarem uma alteração como anomalia, analisam dados - comportamento do tráfego, volume de banda consumida por período e protocolos normalmente utilizados pela rede do cliente - para classificar um ataque. Isso faz com que as taxas de falso positivo e negativo sejam mais baixas, e a mitigação dos ataques seja altamente eficaz.

A rede do cliente fica disponível durante a mitigação de ataques DDoS da UPX.


A mitigação da UPX detecta os ataques através de algoritmos inteligentes e faz a inspeção após a duplicação do tráfego, analisando os pacotes individualmente e não por amostras no server farm de mitigação, onde regras de descarte são aplicadas para eliminar o tráfego malicioso e enviar somente o legítimo aos switches e roteadores do cliente. E como a mitigação é feita em nuvem, usando tráfego nacional e internacional e de forma dinâmica, a ação acontece próxima da origem e garante baixa latência.

Análise do tráfego feita pacote por pacote e não por amostra pela UPX.

Você precisa saber antes de contratar uma solução de proteção DDoS

Qual diferença entre mitigação em cloud e via hardware?

As soluções em hardware, em sua maioria, são mais caras do que as soluções em cloud. Isso porque para se ter uma solução em hardware é necessário a compra do equipamento, das licenças, gasto com treinamento profissional para uso do appliance e com a manutenção.

Outra diferença é que a performance e a entrega das soluções em cloud costumam ser bem mais eficientes. Isso porque a caixa (hardware) geralmente tem um limite de capacidade para fazer a filtragem do tráfego sujo, quando o equipamento atinge a capacidade máxima de banda contratada ele pára de realizar a mitigação e faz o descarte dos pacotes excedentes. O processo em cloud geralmente consegue fazer análises e filtragens mais completas dos pacotes.

Qual a diferença entre mitigação com trânsito nacional e internacional?

A principal vantagem de usar o tráfego nacional para fazer a mitigação de um ataque é a baixa latência, como a mitigação acontece em equipamentos e aplicações geograficamente localizadas em território nacional, o tempo de ida e volta dos pacotes enviados aos scrubbing centers para serem mitigados é bem menor. Isso faz com que não haja perda de performance na rede que está sendo mitigada, ou seja, não haverá atraso no carregamento dos serviços ligados a essa rede, por exemplo.

Combinação de trânsito nacional e internacional também garante menor latência

Quando existe uma combinação entre um backbone robusto - com múltiplos centros de mitigação espalhados pelo mundo - e o uso de trânsito nacional e internacional para mitigar os ataques próximo da origem, esse é o cenário ideal. Isso porque a comunicação percorre um caminho muito menor durante a mitigação, já que age próximo da origem, garantindo uma latência mínima.