O fluxo constante de dados através de redes e sistemas corporativos intensifica o risco de ameaças cibernéticas. Apesar da variedade de ataques cibernéticos, os ataques DoS (Negação de Serviço) e DDoS (Negação de Serviço Distribuída) se destacam, operando de maneira distinta em termos de escala, execução e impacto, embora compartilhem objetivos semelhantes.
Vamos esclarecer as diferenças entre esses dois tipos de ataques cibernéticos, oferecendo informações valiosas para aprimorar a proteção de seus sistemas.
O que caracteriza um ataque DoS?
Um ataque DoS, ou Negação de Serviço, é uma ação direcionada a um serviço com o objetivo de interromper seu funcionamento normal ou impedir que outros usuários acessem esse serviço. Isso pode ser alcançado enviando mais requisições ao serviço do que ele consegue processar, resultando em lentidão ou interrupção completa.
O princípio fundamental de um ataque DoS é sobrecarregar um sistema alvo com um volume de tráfego superior à sua capacidade, com o único propósito de torná-lo inacessível aos seus usuários legítimos. Geralmente, um ataque DoS é executado a partir de uma única máquina.
O que é um ataque DDoS?
Um ataque DDoS, ou Negação de Serviço Distribuída, assemelha-se a um ataque DoS, mas com uma diferença crucial: ele emprega uma rede de múltiplos dispositivos online conectados, conhecidos como botnets, para inundar um sistema alvo com um excesso de tráfego de Internet, comprometendo seu funcionamento normal.
Um ataque DDoS pode ser comparado a um congestionamento inesperado que bloqueia uma rodovia, impedindo que outros veículos cheguem a seu destino no tempo esperado. Em um sistema corporativo, ele impede que o tráfego legítimo atinja seu destino, travando o sistema ou sobrecarregando-o.
Principais categorias de ataques DDoS
Com o avanço da tecnologia, diversas formas de ataques DoS/DDoS surgem, mas nesta seção exploraremos as principais categorias existentes. Geralmente, esses ataques se manifestam como ataques ao volume, protocolo ou camada de aplicação de uma rede.
#1. Ataques baseados em volume
Cada rede ou serviço possui um limite de tráfego que pode gerenciar em um dado período. Ataques baseados em volume visam sobrecarregar uma rede com uma quantidade massiva de tráfego falso, incapacitando-a de processar mais tráfego ou tornando-a excessivamente lenta para outros usuários. Ataques ICMP e UDP são exemplos dessa categoria.
#2. Ataques baseados em protocolo
Ataques baseados em protocolo têm como alvo os recursos do servidor, enviando pacotes volumosos para redes-alvo e ferramentas de gerenciamento de infraestrutura, como firewalls. Esses ataques exploram vulnerabilidades nas camadas 3 e 4 do modelo OSI. Um exemplo desse tipo de ataque é a inundação SYN.
#3. Ataques na camada de aplicação
A camada de aplicação do modelo OSI gera respostas às requisições HTTP de um cliente. Um invasor pode atacar a camada 7 do modelo OSI, responsável por entregar páginas a um usuário, enviando várias solicitações para uma mesma página, sobrecarregando o servidor e impedindo a entrega de páginas a outros usuários.
Esses ataques são difíceis de detectar, pois uma requisição legítima não se distingue facilmente de uma requisição maliciosa. Ataques como o Slowloris e a inundação HTTP são exemplos dessa categoria.
Variedades de ataques DDoS
#1. Ataques UDP
O User Datagram Protocol (UDP) é um protocolo de comunicação sem conexão, que emprega um mecanismo de protocolo mínimo. Ele é frequentemente utilizado em aplicações de tempo real, como videoconferências ou jogos, onde a latência na entrega de dados não é aceitável. Nesses ataques, um invasor envia um grande volume de pacotes UDP a um alvo, impedindo o servidor de responder a requisições legítimas.
#2. Ataques de inundação ICMP
Os ataques de inundação do Internet Control Message Protocol (ICMP) são um tipo de ataque DoS que envia um número excessivo de pacotes de solicitação de eco ICMP a uma rede. Isso resulta em congestionamento da rede, desperdício de largura de banda e, consequentemente, lentidão no tempo de resposta para outros usuários. Em casos extremos, pode levar à falha total da rede ou serviço atacado.
#3. Ataques de inundação SYN
Fonte da imagem: Cloudflare
Para ilustrar esse tipo de ataque, imagine um garçom em um restaurante. Em uma situação normal, um cliente faz um pedido, o garçom o envia para a cozinha, a cozinha o prepara e o entrega ao cliente. No ataque de inundação SYN, um único cliente faz pedido após pedido, sem aguardar a entrega de nenhum deles, até que a cozinha fique congestionada e incapaz de atender outros clientes.
O ataque de inundação SYN explora vulnerabilidades na conexão TCP. O invasor envia várias solicitações SYN, mas não responde às respostas SYN-ACK, fazendo com que o host aguarde continuamente por uma resposta, consumindo recursos até que nenhuma nova solicitação possa ser processada.
#4. Ataques de inundação HTTP
Fonte da imagem: Cloudflare
Um dos métodos mais comuns e simples desse ataque é o ataque de inundação HTTP, que consiste em enviar diversas requisições HTTP a um servidor a partir de diferentes endereços IP. O objetivo é consumir os recursos do servidor, largura de banda e memória com requisições aparentemente legítimas, tornando-o inacessível para o tráfego de usuários reais.
#5. Ataque Slowloris
Um ataque slowloris é executado estabelecendo diversas requisições parciais a um alvo, mantendo o servidor em espera pela requisição completa, que nunca é enviada. Isso transborda o número máximo de conexões permitidas, levando a uma negação de serviço para outros usuários.
Outras formas de ataques incluem ping of death (POD), amplificação, ataque de lágrima, ataque de fragmentação de IP e ataques de inundação. Todos esses ataques têm como objetivo sobrecarregar o serviço/servidor, impedindo-o de processar as requisições legítimas de usuários.
Por que ataques DoS acontecem?
Diferente de outros ataques que visam roubar dados, o invasor em um ataque DoS pretende impedir o funcionamento do servidor, esgotando seus recursos e tornando-o inacessível a usuários legítimos.
Com os avanços tecnológicos, mais empresas atendem seus clientes por meio da nuvem via web. Para se manterem competitivas no mercado atual, é praticamente indispensável que as empresas tenham presença online. Por outro lado, concorrentes podem se aproveitar de ataques DDoS para desacreditar a concorrência, indisponibilizando seus serviços e fazendo-as parecerem não confiáveis.
Ataques DoS também podem ser usados para ransomware. Invasores sobrecarregam o servidor de uma empresa com requisições irrelevantes, exigindo um resgate antes de cessar os ataques e liberar o acesso para usuários legítimos.
Alguns grupos também atacam plataformas que não concordam com suas ideologias por motivos políticos ou sociais. Em geral, ataques DoS não alteram dados no servidor; em vez disso, eles apenas impedem que o servidor seja usado por outros usuários.
Estratégias para mitigar ataques DoS/DDoS
Conscientes da possibilidade de serem atacadas, empresas precisam tomar medidas para proteger seus sistemas/servidores contra ataques. Aqui estão algumas ações que empresas podem adotar:
Monitorar o tráfego
Compreender o padrão de tráfego de sua rede é vital para mitigar ataques DoS. Cada servidor recebe tráfego dentro de um padrão. Um pico repentino, fora dos padrões normais, pode indicar uma irregularidade e, possivelmente, um ataque DoS. Compreender seu tráfego ajuda a agir rapidamente nesses casos.
Limitação de taxa
Limitar o número de requisições que podem ser enviadas a um servidor/rede em um período específico pode mitigar ataques DoS. Invasores enviam várias requisições simultaneamente para sobrecarregar o servidor. Com um limite de taxa, o servidor atrasará automaticamente requisições excessivas, dificultando que um invasor DoS o sobrecarregue.
Servidor distribuído
Manter um servidor distribuído em uma região diferente é uma prática recomendada global. Isso também ajuda a mitigar ataques DoS. Se um invasor for bem-sucedido em um ataque a um servidor, os outros servidores da empresa permanecerão operacionais e continuarão a atender requisições legítimas. O uso de uma rede de entrega de conteúdo para armazenar servidores em cache em locais diferentes próximos aos usuários também serve como uma camada de prevenção contra ataques DoS.
Preparar um plano de ataque DoS/DDoS
Estar preparado para qualquer tipo de ataque é fundamental para minimizar seus danos. Uma equipe de segurança deve ter um plano de ação passo a passo sobre o que fazer em caso de incidente, evitando a necessidade de improvisar soluções durante o ataque. O plano deve incluir ações a serem tomadas, a quem recorrer e como manter requisições legítimas.
Monitorar o sistema
O monitoramento contínuo do servidor em busca de anomalias é crucial para a segurança. O monitoramento em tempo real ajuda a detectar ataques antecipadamente e resolvê-los antes que se agravem. Ajuda a equipe a identificar a origem do tráfego normal e anormal e bloquear facilmente endereços IP que enviam requisições maliciosas.
Outra forma de mitigar ataques DoS/DDoS é usar ferramentas de firewall de aplicativos da web e sistemas de monitoramento, projetados para detectar e prevenir ataques de forma eficaz e rápida. Essas ferramentas são automatizadas para essa finalidade e oferecem segurança completa em tempo real.
Sucuri
Sucuri é um firewall de aplicativo da web (WAF) e sistema de prevenção de intrusão (IPS) para websites. O Sucuri bloqueia ataques DoS direcionados às camadas 3, 4 e 7 do modelo OSI. Alguns recursos importantes incluem serviço de proxy, proteção contra DDoS e verificação rápida.
Cloudflare
Cloudflare é uma das ferramentas de mitigação de DDoS mais bem avaliadas. O Cloudflare oferece redes de entrega de conteúdo (CDN) e três níveis de proteção: proteção DDoS de site (L7), proteção DDoS de aplicação (L4) e proteção DDoS de rede (L3).
Imperva
Imperva WAF é um servidor proxy que filtra todo o tráfego de entrada, garantindo a segurança antes de encaminhá-lo ao servidor da web. O serviço de proxy, correção de segurança e garantia de disponibilidade do site são alguns dos recursos importantes do Imperva WAF.
Stack WAF
Stack WAF é fácil de configurar e ajuda na identificação precisa de ameaças. O Stack WAF oferece proteção para aplicações, incluindo websites, APIs e produtos SaaS, além de proteção de conteúdo e contra ataques DDoS na camada de aplicações.
AWS Shield
AWS Shield monitora o tráfego em tempo real, observando dados de fluxo para detectar tráfego suspeito. Ele também usa filtragem de pacotes e priorização de tráfego para ajudar a controlar o tráfego através do servidor. Vale ressaltar que o AWS Shield está disponível apenas no ambiente AWS.
Apresentamos algumas práticas que podem ajudar a mitigar ataques DoS/DDoS. É importante não descartar nenhum sinal de ameaça/anomalia sem tratamento adequado.
Comparativo: Ataques DoS vs. DDoS
Apesar de semelhantes na superfície, existem diferenças importantes entre ataques DoS e DDoS. Nesta seção, abordaremos alguns dos pontos de distinção:
| Parâmetro | DoS | DDoS |
| Tráfego | O DoS tem origem em uma única fonte. Portanto, a quantidade de tráfego que ele gera é relativamente baixa se comparada a um ataque DDoS. | O DDoS emprega múltiplos bots/sistemas, o que significa que ele pode gerar uma quantidade massiva de tráfego de diversas fontes simultaneamente, sobrecarregando o servidor rapidamente. |
| Fonte | Um único sistema/bot. | Múltiplos sistemas/bots simultaneamente. |
| Mitigação | Ataques DoS são mais fáceis de detectar e interromper, pois têm origem única. | Ataques DDoS têm múltiplas origens, o que dificulta identificar a fonte de todos os alvos e encerrar o ataque. |
| Complexidade | Mais fácil de executar. | Requer grandes recursos e certo conhecimento técnico. |
| Velocidade | Lenta em comparação com ataques DDoS. | Ataques DDoS são muito rápidos. |
| Impacto | Impacto limitado. | Impacto extremo no sistema/servidor. |
Conclusão
Organizações devem priorizar a segurança de seus sistemas em todas as situações; uma violação ou interrupção de serviços pode resultar na perda de confiança de seus usuários. Ataques DoS e DDoS são ilegais e prejudiciais ao sistema alvo. Portanto, todas as medidas para garantir que esses ataques sejam detectados e gerenciados devem ser levadas a sério.
Você também pode explorar soluções de proteção DDoS baseadas em nuvem para empresas de pequeno a grande porte.