Um Distributed Denial of Service (DDoS) é um tipo de ataque DoS no qual vários sistemas comprometidos são usados para atingir um único sistema. Esses tipos de ataques podem causar danos significativos e generalizados porque geralmente afetam toda a infraestrutura e criam tempos de inatividade dispendiosos e disruptivos.
DDoS vs. DoS
Conforme mencionado acima, um ataque DDoS é um tipo de ataque DoS. A principal forma de identificar um ataque DDoS em comparação com outro tipo de ataque DoS é observar como o ataque está sendo executado. Em um ataque DDoS, o tráfego de entrada que inunda a vítima se origina de muitas fontes diferentes, potencialmente centenas de milhares ou mais. Isso torna efetivamente impossível parar o ataque simplesmente bloqueando um único endereço IP; além disso, é muito difícil distinguir o tráfego de usuário legítimo do tráfego de ataque quando espalhado por tantos pontos de origem.
Como funcionam os ataques DDoS
Os ataques DDoS costumam ser realizados por um Cavalo de Tróia, um tipo de malware disfarçado como um arquivo ou programa inócuo. Depois que os invasores comprometem vários dispositivos e criam um botnet, eles usam um servidor de comando e controle (C2) para atacar o sistema visado até que ele sobrecarregue e falhe. O método específico de ataque pode variar.
Os tipos de ataques DDoS incluem:
- Ataques volumétricos: Os ataques volumétricos geralmente consomem recursos de largura de banda, criando um grande volume de tráfego, o que impede que usuários legítimos acessem o sistema de destino. Os tipos de ataques volumétricos incluem amplificação de DNS, em que o invasor usa o endereço IP do alvo ao iniciar uma solicitação de uma grande quantidade de dados. Isso significa que o servidor está enviando e recebendo os mesmos dados simultaneamente e, subsequentemente, fica sobrecarregado.
- Ataques de protocolo: Os ataques de protocolo têm como alvo os recursos da rede sobrecarregando o firewall ou balanceador de carga, e é por isso que também são chamados de ataques de exaustão de estado. Os tipos de ataques de protocolo incluem inundação de SYN, em que o invasor manipula o handshake de 3 etapas de uma conexão TCP até que os recursos da rede sejam consumidos e nenhum dispositivo adicional possa estabelecer uma nova conexão.
- Ataques de camada de aplicativo: Os ataques à camada de aplicativo são usados para esgotar recursos na camada de aplicativo. Nesses tipos de ataques, os bots enviam vários milhões de solicitações complicadas de aplicativos simultaneamente, de forma que o sistema fica sobrecarregado muito rapidamente. Os tipos de ataques à camada de aplicativo incluem inundação de HTTP, que é efetivamente semelhante a atualizar um navegador repetidamente a partir de vários dispositivos.
Há uma série de medidas que os usuários podem implementar para prevenir ou mitigar as repercussões de um ataque DDoS. O desenvolvimento e a reavaliação regular de um plano de resposta e a implementação de sistemas de gerenciamento de ameaças em vários níveis são táticas valiosas que podem evitar tempos de inatividade dispendiosos como resultado de um ataque DDoS. Também é importante monitorar a rede em busca de quaisquer sinais de alerta. Os sintomas de um ataque DDoS iminente incluem altos volumes de tráfego que:
- Vem de um endereço IP ou intervalo de endereços IP
- Vá para uma única página da web
- Vem de uma única característica comum do usuário (como geolocalização)
- Ocorre em horários inesperados do dia