DoS (Deny of Service) e DDoS (Distributed Denial of Service) são ataques de negação de serviço. Portanto, ambos visam gerar uma sobrecarga de requisições de modo a obstruir a rede ou consumir todos os recursos do servidor. Assim, o impossibilitando de fornecer o serviço.
A diferença entre o DoS e o DDoS é em relação à quantidade de dispositivos que estão realizando o ataque. O DoS envolve apenas um computador atacante. Já o DDoS pode envolver até milhões de computadores atacantes.
Para realizar o DDoS o cracker cria uma rede de computadores zumbis, também conhecida por botnet. Contudo, esses computadores zumbis, podem ser de usuários comuns ao redor do mundo que nem mesmo sabem que estão infectados.
Ao realizar o ataque DDoS o computador mestre controla diversos computadores infectados para enviar requisições simultaneamente para um alvo. Assim, dificultando que alvo se proteja, já que o ataque vem de diversos computadores com endereços IP diferentes e não de apenas um como é o caso do DoS.
Os três principais pilares da segurança da informação são: disponibilidade, confidencialidade e integridade. O ataque DDoS ataca justamente o pilar da disponibilidade. Portanto, negando o acesso ao serviço. Ao passo que poderá causar graves prejuízos para uma empresa ou até mesmo paralisar atividades essenciais de órgãos governamentais.
TIPOS DE ATAQUE DDOS
Segue alguns dos ataques DDoS mais comuns:
Ataques à Camada de Aplicação
Esse tipo de ataque pode ser confundido como uma falha de implementação da aplicação. Desse modo, o objetivo desse ataque é saturar o sistema forçando a aplicação a executar um processo que demande muitos recursos. Como, por exemplo, consultas complexas em aplicações que exigem alta carga de processamento. Exemplo: HTTP POST – POST é um método de requisição utilizado pelo protocolo de aplicação HTTP. O POST envia dados das solicitações anexados em seu corpo e exigem um processamento mais complexo do que requisições GET que são mais simples, por exemplo. Com solicitações POST intermináveis pode-se facilmente esgotar os recursos do servidor e até mesmo a banda disponível.
Ataques de Exaustão de Estado
Essa modalidade visa esgotar toda a capacidade de uma tabela de estado que esteja disponível nos servidores ou dispositivos de rede. Dessa forma, impedindo o estabelecimento de novas conexões. Exemplo: SYN Flood – Pacote com a flag SYN é um pacote de solicitação de conexão inicial do protocolo TCP. Quando o servidor recebe o pacote SYN reponde com SYN/ACK deixando uma porta TCP aberta a espera de uma resposta (ACK). Assim, o envio massivo de pacotes SYN para um servidor poderá sobrecarregar todas as portas disponíveis.
Ataques Volumétricos
O objetivo desse tipo de ataque é exaurir toda a banda disponível do alvo. Para chegar a esse objetivo o cracker usa botnets e vulnerabilidades de serviços UDP para amplificarem o tráfego em direção ao alvo. Exemplo: Amplificação por NTP – O servidor NTP (Network Time Protocol) é crucial para manter a sincronização dos relógios dos dispositivos em rede. Existem diversos servidores públicos que fornecem esse serviço. Porém, apesar de importantes, se mal configurados podem ser utilizados em ataques de negação de serviço. O cracker poderá usar uma botnet para enviar requisições para o servidor NTP se fazendo passar pelo alvo solicitando uma grande quantidade de dados. Quando o servidor responder às requisições de todas as máquinas da botnet, enviará todas para um único alvo. Assim, sobrecarregando o link do alvo.
PROTEÇÃO CONTRA ATAQUES DDOS
Vimos durante este artigo o quão nocivo são os ataques DDoS. Sobretudo, afetando um serviço essencial. Inegavelmente, é crucial que as empresas possuam maneiras de detectar e aplicarem contramedidas para evitarem perdas substanciais.
O primeiro ponto é a visibilidade. Principalmente em relação ao tráfego. A rede não pode mais ser uma caixa preta, é crucial observar o comportamento padrão da rede para estabelecer parâmetros que facilite a identificação de tráfego anormal.
Alarmes podem ser configurados, tanto para a identificação imediata de um pico de tráfego, quanto para a avaliação de alteração de comportamento da rede. Isso, em conjunto com relatórios, dará a informação completa sobre a origem e o conteúdo do tráfego.
O segundo ponto é uma abordagem proativa. Não basta apenas identificar, é necessário executar as medidas de proteção. Scripts devem ser configurados para atuarem bloqueando endereços caso sejam identificados como origem do tráfego suspeito. Assim, efetivando uma rápida resposta contra um ataque DDoS antes que o mesmo tenha sucesso.
CONSIDERAÇÕES FINAIS
O TRAFip é um sistema de análise de tráfego que permite determinar o que, como, quando, onde e por quem sua rede está sendo utilizada. O TRAFip em conjunto com o TRAFwatcher, além de prover total visibilidade do tráfego, atuará na detecção e bloqueios de ataques como o DDoS.
Neste sentido, não há dúvidas sobre a importância do investimento no gerenciamento da rede. Dessa forma, trazendo não apenas benefícios para a visibilidade da rede, mas também sendo uma forma complementar de buscar a prevenção de problemas que possam causar a queda de serviços da rede.
Pensando nisto, a Telcomanager que está desde 2002 no mercado, líder da América Latina no setor de software para gerência de redes, com uma metodologia única e inovadora, disponibiliza soluções inteligentes no monitoramento de dados que irão prover visão estratificada do tráfego, permitindo que a sua empresa acompanhe os principais aspectos de sua rede em tempo real.