O Distributed Denial of Service ou DDoS como é conhecido, é
um ataque que tem como objetivo indisponibilizar uma aplicação, servidor ou
rede para os usuários, deixando-o indisponível temporariamente ou suspendendo o acesso do servidor.
Diferente do ataque de DoS (Denial of Service), que é
realizado por apenas um computador e uma conexão de Internet, os ataques DDoS
utilizam muitos computadores e diversas conexões, que normalmente são
distribuídas ao redor do mundo e fazem parte de uma rede de computadores zumbis,
também conhecidas como botnet.
Os ataques de DDoS podem ser divididos em 3 partes: ataques
baseados em volume, em protocolos e aplicações. Vamos entender melhor cada um
deles.
Ataques baseados em
volume
O principal foco desse ataque é saturar o link do alvo com
milhões de pacotes, isso inclui os ataques do tipo UDP floods e ICMP floods. A
forma utilizada para mensurar esse tipo de ataque é o BPS (bits por segundo)
Ataques baseados em
protocolos
Esse tipo de ataque irá consumir os recursos do servidor ou
dos equipamentos que fazem o intermédio das aplicações, como os firewalls e
load balancers. Neste tipo de ataque, podemos citar como exemplo os ataques do
tipo SYN flood, Ping of Death, Smurf DDoS entre outros. A forma utilizada para
mensurar esse tipo de ataque é a pacotes por segundo.
Ataques baseados em
aplicações
Esse ataque normalmente é direcionado para aplicações web e
tem como objetivo derrubar ou consumir todos os recursos da aplicação. Neste
tipo, as requisições são muitos parecidos como a de um visitante comum no site,
porém milhares começam a acontecer ao mesmo tempo. A forma utilizada para
mensurar esse tipo de ataque é as requisições por segundo.
Os ataques de DDoS estão crescendo rapidamente nos últimos
meses, tanto em tempo como em volume e esse aumento tem como principal fator o
crescente número de botnet.
As razões para ocorrerem um ataque desse tipo também podem
ser variadas, mas conseguimos classificá-las como:
- Hacktivistas: que normalmente envolvem uma causa política;
- Extorsões: onde é requerido um pagamento antes de realizar o ataque;
- Competidores: você que possui um e-commerce, imagine quanto seu concorrente faturaria se sua loja estiver offline na Black Friday, e
- “Black Hats”: que podem fazer isso por pura diversão.
Como detectar o
ataque
Geralmente esse tipo de ataque ocorre durante a noite,
finais de semana e feriados que normalmente é quando a equipe de TI não está
100% ativa na empresa. A detecção pode ser tanto automática como manual.
O que tenho visto hoje nas empresas são detecções manuais,
que acontecem quando o ataque já esta em curso e as aplicações do cliente já se
encontram offline durante um período,
basicamente a principal métrica para detectar manualmente um ataque é o consumo
de link, seguido de consumo dos recursos do firewall, load balance e por último
dos servidores e aplicações, sendo que todas podem ser baseadas em uma média de
consumo.
Já na detecção automática, além de ter um tempo de resposta
muito menor, é possível “aprender” com a aplicação atual monitorando o
comportamento e, quase que de forma instantânea, bloquear um ataque DDoS em
curso. Isso permite que você consiga tomar uma decisão com o objetivo de não
deixar sua aplicação indisponível para seus clientes.
Se você possui um negócio online, procure avaliar os riscos
e conhecer as soluções disponíveis com o objetivo de prevenir e/ou começar a
desenvolver um plano de ação para que este tipo de ataque não aconteça. Caso já
tenha acontecido, avalie quais foram os impactos, qual foi o tipo de ataque e
como você poderá se prevenir caso volte a acontecer, além disso o investimento
em segurança diminui o risco que um incidente pode causar a imagem do seu
negócio e aumenta a sua credibilidade junto aos clientes!
EmoticonEmoticon