Um ataque DDoS (Distributed Denial of Service) é um ataque de negação de serviço distribuído e em escala, executado por uma rede Botnet constituída por centenas ou mesmo milhares de computadores e outros dispositivos com ligação à Internet (IoT – Internet of Things) infetados com malware.
Na maioria das ocorrências, este tipo de ataques é normalmente feito de forma indiscriminada com o objetivo de deitar abaixo/tornar inacessíveis o maior número de serviços possíveis, existindo ainda assim casos em que o ataque é direcionado a um site em específico.
Se efetuar uma breve pesquisa, vai poder verificar que várias empresas reconhecidas mundialmente já foram vítimas de ataques DDoS, tais como Sony, VISA, Netflix, Twitter, Paypal, Microsoft, entre muitas outras.
Para entender melhor como um ataque DDoS funciona, é importante perceber o conceito de “recursos limitados”. Cada servidor ou serviço online tem uma capacidade máxima de processamento de pedidos. Quando essa capacidade é ultrapassada, o serviço começa a funcionar lentamente ou deixa de responder completamente.
Como funciona um ataque DDoS?
Um ataque DDoS explora esta limitação, inundando o alvo com uma quantidade massiva de pedidos. A chave para o sucesso de um ataque DDoS está na origem desses pedidos: em vez de terem origem num único dispositivo, eles são enviados por uma rede distribuída de dispositivos infetados, espalhados por todo o mundo.
Estes dispositivos infetados fazem parte de uma Botnet, que é controlada por um atacante através de um comando e controlo central (Command and Control ou C&C). O atacante instrui a Botnet para enviar uma larga quantidade de tráfego ao alvo, sobrecarregando-o e forçando-o a ficar indisponível para acessos legítimos.
Para comparar um ataque DDoS com uma situação do mundo offline, imagine que estava à espera de uma chamada importante e de repente cerca de 1000 pessoas ligavam em simultâneo para o seu telemóvel, impedindo a chamada importante de chegar ao destino.
Tipos de ataques DDoS
Existem vários tipos de ataques DDoS, que se diferenciam pela forma como atacam os recursos do sistema:
a. Ataques de Volumetria
Os ataques de volumetria são os mais comuns e envolvem o envio de uma quantidade massiva de dados ao alvo, de forma a consumir toda a largura de banda disponível. Este tipo de ataque pode ser comparado a um congestionamento numa estrada, onde o trânsito normal é incapaz de prosseguir devido à quantidade elevada de veículos.
Exemplo: Envio de grandes volumes de pacotes ICMP (ping) ou UDP.
b. Ataques de Exaustão de Estado
Neste tipo de ataque, o objetivo é esgotar os recursos de um servidor ou dispositivo, como firewalls e load balancers (balanceadores de carga). Os atacantes enviam pedidos de ligação que utilizam recursos de memória ou CPU, sobrecarregando o sistema até que este deixe de conseguir processar novos pedidos.
Exemplo: Ataques SYN flood, onde o atacante envia múltiplos pedidos de conexão TCP incompletos.
c. Ataques a Camada de Aplicação (L7)
Estes ataques são direcionados ao nível da aplicação (camada 7 do modelo OSI). Em vez de focarem-se em levar à exaustão os recursos de rede, estes visam sobrecarregar aplicações específicas, como servidores web, servidores de e-mail, etc. Este tipo de ataques são mais difíceis de detetar, pois o tráfego parece legítimo, mas está desenhado para explorar vulnerabilidades na lógica da aplicação.
Exemplo: Pedidos HTTP GET e POST repetidos em grande volume, para sobrecarregar um servidor web.
Consequências de um ataque DDoS
As consequências de um ataque DDoS podem ser devastadoras para qualquer negócio ou organização, especialmente para aquelas que dependem de uma presença online estável.
Entre as consequências mais comuns de um DDoS podemos destacar:
Exposição a Outros Ataques: Muitas das vezes, um ataque DDoS é utilizado como uma distração para esconder outras atividades maliciosas, como roubo de dados ou infiltração em sistemas.
Interrupção do Serviço: O efeito imediato de um ataque DDoS é a indisponibilidade dos serviços online. Websites, aplicações e até infraestruturas críticas podem ficar fora do ar durante horas ou dias.
Perda Financeira: As empresas que dependem de transações online, como e-commerce, podem perder bastante dinheiro durante um ataque. Para além disso é necessário contabilizar o custo associado à recuperação e mitigação.
Danos à Reputação: A confiança dos clientes pode ser afetada se um serviço ficar indisponível por um período prolongado. A reputação de uma empresa pode sofrer, levando à perda de clientes.
Como Mitigar Ataques DDoS
A facilidade de mitigação deste tipo de ataques depende do tamanho da rede Botnet e da intensidade do mesmo. Recebemos diariamente vários exemplares de ataques DDoS de pequena escala, sendo estes facilmente bloqueados pelos nossos sistemas, mas a capacidade das redes Botnet e intensidade dos ataques têm vindo cada vez mais a aumentar nos últimos anos, tornando-se cada vez mais difícil a análise e mitigação deste tipo de ataques.
A mitigação de ataques DDoS não é uma tarefa simples, especialmente à medida que os ataques se tornam mais sofisticados. Para além disso, proteger um serviço contra ataques DDoS poderá ter custos bastante elevados, podendo em determinadas situações atingir centenas de milhares de euros ou até mesmo milhões de euros, dependendo do tipo de ataque, volume, duração e dificuldade de mitigação.
No entanto, existem algumas estratégias que podem ajudar a proteger contra estes tipos de ameaças:
a. Monitorização Contínua
A monitorização constante do tráfego de rede pode ajudar a identificar padrões anómalos, como picos de tráfego inesperados, que podem ser o início de um ataque DDoS. Soluções de monitorização proativa, como firewalls avançadas e sistemas de deteção de intrusões, podem ajudar a identificar e alertar os administradores de rede relativamente a ataques DDoS.
b. Redes de Distribuição de Conteúdo (CDN)
As CDNs ajudam a distribuir o tráfego de um website por vários servidores em todo o mundo, o que dificulta que um ataque DDoS seja eficaz. Além disso, muitas CDNs têm capacidades de mitigação de DDoS integradas, filtrando o tráfego malicioso antes que este atinja o servidor de origem. Exemplo: CloudFlare e Imperva
c. Fornecedores de Mitigação DDoS
Existem fornecedores especializados em mitigação de ataques DDoS, como o CloudFlare e a Akamai, que têm infraestruturas dedicadas a absorver grandes volumes de tráfego malicioso e garantir a continuidade dos serviços.
d. Planeamento e Preparação
As empresas devem ter um plano de resposta a incidentes que inclua cenários de ataques DDoS. A preparação adequada pode ajudar a minimizar os danos causados por um ataque e garantir uma recuperação mais rápida.
Ataques DDoS
Nos últimos anos foram atingidos sucessivamente recordes no número e capacidade de ataques DDoS, tendo um dos maiores ataques DDoS registados sido direcionado à rede do CloudFlare e atingido a capacidade de 3.8 Tbps (Terabytes por segundo).
À medida que a conectividade global aumenta e mais dispositivos IoT entram em operação, o potencial para ataques DDoS mais poderosos também cresce. As redes Botnet estão a tornar-se maiores e mais sofisticadas, e o desenvolvimento de novas técnicas de ataque torna a mitigação uma tarefa cada vez mais complexa.
Por outro lado, as soluções de defesa também estão a evoluir, com o uso de inteligência artificial e machine learning para identificar e mitigar ataques em tempo real. As empresas que adotarem uma abordagem proativa de segurança, investindo em tecnologias de mitigação e em parcerias com especialistas na área, estarão mais bem preparadas para enfrentar o desafio dos ataques DDoS no futuro.
Poderá verificar também o seguinte vídeo, que demonstra mais detalhadamente como funcionam os ataques DDoS:
Os ataques DDoS representam uma ameaça significativa para a segurança e estabilidade das infraestruturas digitais. Embora seja impossível evitar completamente a possibilidade de um ataque, uma preparação adequada e o uso de tecnologias avançadas de mitigação podem ajudar a reduzir o impacto.
O aumento da consciencialização sobre os perigos dos ataques DDoS é crucial para garantir que empresas e utilizadores possam proteger-se eficazmente desta ameaça crescente.