Por que o DDoS ainda é um grande vetor de ataque e como protegê-lo

Views: 922
0 0
Read Time:9 Minute, 45 Second

O primeiro ataque maciço e documentado ao estilo DoS ocorreu durante a semana de 7 de fevereiro de 2000, quando “mafiaboy”, um hacker canadense de 15 anos, orquestrou uma série de ataques do DoS contra vários sites de comércio eletrônico, incluindo Amazon e eBay. Esses ataques usaram computadores em vários locais para sobrecarregar os computadores dos fornecedores e desligar seus sites para tráfego comercial legítimo.

Já se passaram 22 anos desde que a greve do “mafioso” e os ataques de negação distribuída de serviço (DDoS) ficaram maiores, mais fortes e ainda representam um grande vetor de ataque em aplicativos, serviços, redes e infraestrutura.

Neste post no blog, cobrirei os diferentes vetores de ataque DDoS, por que os atores de ameaças DDoS adoram DDoS como parte de seus arsenais, e algumas técnicas de mitigação para proteger sua organização de tais ataques.

O que é um ataque DDoS?

Os ataques de Negação de Serviço (DoS) e Negação Distribuída de Serviço (DDoS) não são novos vetores de ciberataque; Eles remontam ao início da década de 1970, quando surgiram redes comerciais e empresariais modernas.

O DDoS é um ataque cibernético no qual o adversário busca tornar uma máquina ou recurso de rede indisponíveis para seus usuários pretendidos, interrompendo temporariamente ou indefinidamente os serviços de um host conectado a uma rede. Ele não peruse nenhum dado privado ou obtenha controle sobre a infraestrutura do alvo; ele só visa derrubar o serviço.

No mundo de hoje, especificamente com o COVID, que acelerou a transformação digital das organizações, a presença na Web é impisto para qualquer negócio. Neste ambiente, os ataques DDoS podem ser muito destrutivos.

Principais ingredientes dos ataques DDoS

Ingrediente # 1 – Botnet

Uma botnet é um grupo de máquinas infectadas e comprometidas com malware controlado por software malicioso sem o conhecimento do proprietário da máquina. Ele varia de PCs comuns em casa ou escritório a dispositivos IoT. Máquinas comprometidas chamadas bots ou ‘zumbis’ são usadas para lançar ataques DDoS, espalhar SPAM ou executar outras atividades maliciosas orquestradas pelo invasor.

Um dos Botnets mais infames é o “Mirai”, que usou centenas de milhares de dispositivos IoT sequestrados. Os criadores da botnet Mirai, Josiah White, Paras Jha e Dalton Norman, todos entre 18 e 20 anos quando construíram o Mirai, conseguiram sequestrar dispositivos IoT escaneando a Internet em busca de dispositivos IoT vulneráveis com nomes de usuário e senhas definidos de fábrica, entrar neles e infectá-los com o malware Mirai.

A botnet Mirai foi usada em vários ataques DDoS entre 2014 e 2016 e, quando os criadores sentiram o calor vindo das autoridades, publicaram o código fonte do Mirai em um fórum de Hackers na tentativa de cobrir suas faixas. Todos os três foram eventualmente indiciados, declarados culpados, e agora estão lutando contra o crime com o FBI. Incrível como a vida acaba.

Assim como temos variantes e mutações COVID, mirai também evoluiu e suas mutações de código fonte têm sido usadas na natureza por hackers. Okiru, Satori/Fbot, Masuta, Moobot e mais de 60 outras variantes mirai estão por aí.

Ingrediente # 2 – Comando e Controle

Comando e controle, também conhecido como C2 ou C&C, é o componente de gestão ou orquestração usado para controlar um exército de botnets. É um componente crítico usado pelos adversários para emitir instruções para dispositivos comprometidos, baixar cargas maliciosas adicionais, lançar ataques e armar máquinas comprometidas para serem usadas para diferentes tipos de atividades maliciosas que variam de espalhar SPAM, participar de uma campanha DDoS e até mesmo exfiltrar dados.

A comunicação entre máquinas comprometidas e o servidor C2 é difícil de detectar, pois aproveita o tráfego confiável e se mistura com tráfego legítimo que está amplamente em uso, como HTTP/HTTPS ou DNS.

O comando e o controle utilizam a arquitetura de topologia moderna que você encontrará em uma empresa de tecnologia moderna e varia de plataformas fora da prateleira como Cobalt Strike, Covenant e Powershell Empire. Um modelo comum de cliente/servidor é usado, e topologias comuns são:

Topologia estelar – Hub centralizado e topologia de raios usando um único servidor C2 para se comunicar com a botnet. Ele possui comunicação confiável e de baixa latência, mas pode ser facilmente desativado quando o servidor C2 é retirado.

Topologia estelar de um ataque DDoS

Ataque DDoS: topologia estelar

Topologia Multi Server – Muito semelhante à topologia estrela hub-and-spoke, exceto que o C2 consiste em vários servidores interconectados que fornecem alta capacidade e resiliência sem um único ponto de falha.

Topologia multi-servidor de um ataque DDoS

Ataque DDoS: topologia multi server

Topologia hierárquica para múltiplos segmentos – Nesta topologia, a botnet e o C2 são divididos em múltiplos segmentos ou zonas, semelhantes à topologia de LAN virtual. Cada segmento é controlado por um servidor C2 específico. Essa topologia é mais difícil de detectar, pois um único segmento não tem visibilidade total de toda a rede botnet.Ataque DDoS: topologia hierárquica para múltiplos segmentos

Ataque DDoS: topologia hierárquica

Ingrediente # 3 – O alvo

Uma vez que os adversários construam um exército de botnet e estabeleçam comunicação com o servidor C2, eles podem iniciar um ataque DDoS contra qualquer servidor, serviço, aplicativo ou rede on-line.

Tudo o que eles precisam é do endereço IP ou URL de destino para interromper as operações normais e até mesmo derrubá-lo.

Tipos de ataque DDoS

Ao longo dos anos, os cibercriminosos desenvolveram várias abordagens técnicas para eliminar alvos on-line usando DDoS que podem ser resumidos sob os seguintes três principais tipos de ataques DDoS:

Ataques volumosos – Este tipo clássico de ataques DDoS empregam métodos para gerar um volume maciço de tráfego para saturar completamente o tubo de largura de banda, criando um engarrafamento que impossibilita o tráfego legítimo de fluir para dentro ou para fora do local alvo. Este é o tipo mais simples de ataque DDoS e o ataque mais comum até agora. As medições estão em bits por segundo (bps) e, em ataques DDoS recentes, podem chegar a vários Tbps em tamanho de ataque.

Tipos comuns de ataque induzem inundações de TCP, inundações de UDP e inundações de ICMP. Mais informações podem ser encontradas no Manual de Ataque DDoS.

Outra forma de ataque volumoso é um ataque reflexão onde o atacante faz uso de componentes de terceiros potencialmente legítimos para enviar tráfego de ataque a uma vítima, escondendo a própria identidade dos atacantes. Os invasores enviam pacotes para os servidores refletores com um endereço IP de origem definido para o IP da vítima, portanto, sobrecarregando indiretamente a vítima com os pacotes de resposta. Abaixo está um exemplo de ataque de reflexão baseado em NTP.

Ataque DDoS: método de ataque de reflexão
Ataque DDoS: método de ataque de reflexão

O método de ataque de reflexão pode ser amplificado, o que nos leva a outra forma de ataque volumoso chamado de ataque DDoS de amplificação, onde as solicitações do servidor são saídas de grandes quantidades de dados, que são então encaminhados diretamente de volta para o servidor, falsificando o endereço de resposta para. Ataques de amplificação NTP e DNS são possíveis. Em uma amplificação DNS, uma consulta falsificada do tipo “ANY” retornará todas as informações conhecidas sobre uma zona de DNS em uma única solicitação e as enviará ao servidor da vítima. Abaixo está um exemplo de ataque de reflexão amplificado baseado em DNS.

Ataque DDoS: método de ataque de amplificação
Ataque DDoS: método de ataque de amplificação

Abaixo você pode ver exemplos do fator de amplificação por protocolo:

fator de amplificação por protocolo representado em uma tabela
De www.cisa.gov/uscert/ncas/alerts/TA14-017A

Ataques de protocolo – Os ataques de protocolo visam recursos, consumindo a capacidade de processamento dos recursos de infraestrutura de rede, como servidores, firewalls e balanceadores de carga, direcionando as comunicações de protocolo da Camada 3 e da Camada 4 com solicitações de conexão maliciosas.

A medição dos ataques de protocolo está em pacotes por segundo (pps).

Ataques típicos são ataques de inundação SYN e tcp/UDP/ICMP. Mais informações podem ser encontradas no Manual de Ataque DDoS.

Abaixo está como exemplo do ainda muito comum ataque de inundação syn, que explora o processo de aperto de mão tcp de três vias para causar estragos. O ataque inunda várias portas TCP no sistema de destino com mensagens SYN solicitando iniciar uma conexão entre o sistema de origem e o sistema de destino. O alvo responde com uma mensagem SYN-ACK para cada mensagem SYN que recebe e abre temporariamente uma porta de comunicações para a conexão solicitada enquanto aguarda uma mensagem ACK final da fonte em resposta a cada mensagem SYN-ACK. O atacante nunca envia o ACK final e, portanto, a conexão nunca é completada. A conexão temporária eventualmente será encerrada, mas não antes que o sistema de destino seja sobrecarregado com conexões incompletas acumuladas em sua tabela de estado.

Ataque DDoS: diagrama de solicitação syn falsificado
Ataque DDoS: pedidos de SYN falsificados

Ataques de aplicativos – Alguns dos ataques DDoS mais sofisticados exploram fraquezas no aplicativo Camada 7, abrindo conexões e iniciando solicitações de processos e transações que consomem recursos finitos, como espaço em disco e memória disponível.

Esses ataques visam vulnerabilidades ou problemas específicos dentro de um aplicativo específico, requerem menos recursos e visam vulnerabilidades dentro dos aplicativos imitando o comportamento legítimo do usuário.

Os ataques típicos de camada de aplicativos incluem inundações HTTP/S, Slowloris, Low e Slow, todas as quais são principalmente mitigadas por um WAF (Web Application Firewall, firewall de aplicativos da Web)

Por que é tão fácil lançar um ataque DDoS?

Uma vez que um cibercriminoso construa uma botnet, ele ou ela provavelmente vai querer monetizar oferecendo um chamado “serviço” de ataque DDoS para outros.

Hoje em dia, é muito fácil encontrar DDoS-as-a-Service online ou DDoS para contratar serviços disfarçados de um estressador de rede legítimo. Uma simples pesquisa no Google de “Booters” ou “Stressers” resultará em tais serviços DDoS, que podem ser lançados muito facilmente por uma pequena taxa tão baixa quanto US$ 10.

Cibercriminosos com intenções maliciosas não precisam ter nenhuma habilidade de hacking ou construir suas próprias botnets. Eles podem facilmente, e com o mínimo de risco, organizar dDoS para contratar serviços (nem mesmo na dark/deep web), e lançar um ataque DDoS a partir de um navegador simples com alguns cliques do mouse. (Todo o pagamento é feito em criptomoedas, que não podem ser rastreadas, e alguns Booters/Stressers garantem total anonimato sem registros de registro.)

Alguns exemplos de pacotes disponíveis e formulários de pagamento usando criptomoeda:

uma captura de tela de um site que vende DDoS-as-a-Service
Uma captura de tela de um site que vende DDoS-as-a-Service
uma captura de tela de um site que vende DDoS para contratar serviços
Uma captura de tela de um site que vende DDoS para contratar serviços

Como proteger contra ataques DDoS

Em resumo, o DDoS é um principal vetor de ataque usado por cibercriminosos. É tão fácil hoje lançar um ataque DDoS usando DDoS para contratar serviços e, na maioria dos casos, os adversários usarão vários vetores de ataque para o máximo impacto. Em alguns casos, um ataque DDoS será usado como uma cortina de fumaça para outros tipos de ataques, por isso os profissionais de segurança precisam estar atentos a toda a sua postura de segurança antes, durante e depois dos ataques.

A Allot fornece proteção de ataque DDoS autônoma de toque zero de última geração com detecção automática e mitigação de ataques DDoS em segundos. Como uma solução de proteção sempre inline, o Allot DDoS Secure pode dimensionar até uma capacidade de Tbps, mitigando ataques DDoS de entrada usando NBAD – Network Based Anomaly Detection – e análise de saída usando HBAD – Host Based Anomaly Detection – para detectar se um host está comprometido e participando de atividades maliciosas, como espalhar SPAM ou participar de uma campanha de ataque DDoS.

um fluxograma mostrando como proteger contra ataques DDoS
O fluxo de proteção de ataque DDoS

Abaixo está um resumo dos destaques de proteção Allot DDoS:

uma tabela mostrando destaque da proteção de ataque Allot DDoS

Mais informações estão disponíveis na página de segurança Allot DDoS e você pode entrar em contato conosco para obter ainda mais informações.

FONTE: SECURITY BOULEVARD

POSTS RELACIONADOS

Categorias

Posts Recentes

A insegurança cibernética é um dos principais riscos globais para a próxima década

02/04/2026 Ameaça, Cibersegurança

Quando os dados de pagamento se tornam o elo mais fraco

01/04/2026 Cibersegurança, Prevenção

A blindagem de APIs como fator de maturidade do Governo Digital

30/03/2026 Cibersegurança, Compliance, Proteção

O esgotamento da criptografia de disco diante das ameaças modernas

27/03/2026 Prevenção, Proteção

O papel do engenheiro residente na cibersegurança moderna

25/03/2026 Cibersegurança, Prevenção, Proteção

866903Além da LGPD: como a criptografia de dados se tornou vantagem competitiva

23/03/2026 Cibersegurança, Compliance
Instagram Youtube Facebook Twitter Linkedin

Feito por VP DIGITAL