2Sep
DoS( Negação de Serviço) e DDoS( Distributed Denial of Service) estão se tornando cada vez mais comuns e potentes. Os ataques de negação de serviço vêm de várias formas, mas compartilham um propósito comum: impedir que os usuários acessem um recurso, seja uma página da Web, e-mail, a rede do telefone ou qualquer outra coisa inteiramente. Vejamos os tipos mais comuns de ataques contra alvos da Web e como DoS pode se tornar DDoS.
Os Tipos Mais Comum de Negação de Serviço( DoS) Ataca
No seu núcleo, um ataque de Negação de Serviço normalmente é executado inundando um servidor - digamos, o servidor de um site - tanto que não pode fornecer seus serviços parausuários legítimos. Há algumas maneiras pelas quais isso pode ser executado, sendo os ataques de inundações TCP e ataques de amplificação de DNS mais comuns.
TCP Inundação Ataca
Quase todo o tráfego web( HTTP / HTTPS) é realizado usando o Transmission Control Protocol( TCP).TCP tem mais sobrecarga do que a alternativa, User Datagram Protocol( UDP), mas foi projetado para ser confiável. Dois computadores conectados entre si via TCP confirmarão o recebimento de cada pacote. Se nenhuma confirmação for fornecida, o pacote deve ser enviado novamente.
O que acontece se um computador for desconectado? Talvez um usuário perca o poder, seu ISP tenha uma falha, ou seja o que for que eles usem, sem usar o outro computador. O outro cliente precisa parar de reenviar o mesmo pacote, ou então está desperdiçando recursos. Para evitar a transmissão interminável, é especificada uma duração de tempo limite e / ou é colocado um limite em quantas vezes um pacote pode ser reenviado antes de deixar a conexão completamente. O
TCP foi projetado para facilitar uma comunicação confiável entre bases militares em caso de desastre, mas esse design deixa vulneráveis a ataques de negação de serviço. Quando TCP foi criado, ninguém imaginou que seria usado por mais de um bilhão de dispositivos cliente. A proteção contra ataques modernos de negação de serviço não era parte do processo de design.
O ataque de negação de serviço mais comum contra servidores web é realizado por pacotes de sincronização de spam SYN( sincronizar).Enviar um pacote SYN é o primeiro passo para iniciar uma conexão TCP.Depois de receber o pacote SYN, o servidor responde com um pacote SYN-ACK( sincronizar confirmação).Finalmente, o cliente envia um pacote ACK( confirmação), completando a conexão.
No entanto, se o cliente não responder ao pacote SYN-ACK dentro de um horário definido, o servidor envia o pacote novamente e aguarda uma resposta. Isso repetirá esse procedimento repetidamente, o que pode desperdiçar memória e tempo do processador no servidor. Na verdade, se for feito o suficiente, pode desperdiçar tanta memória e tempo de processamento que os usuários legítimos conseguem suas sessões cortadas ou novas sessões não conseguem iniciar. Além disso, o uso aumentado de largura de banda de todos os pacotes pode saturar redes, tornando-os incapazes de transportar o tráfego que eles realmente querem.
Ataques de amplificação de DNS
Os ataques de negação de serviço também podem ter como objetivo servidores DNS: os servidores que traduz nomes de domínio( como howtogeek.com) em endereços IP( 12.345.678.900) que os computadores usam para se comunicar. Quando você escreve howtogeek.com no seu navegador, ele é enviado para um servidor DNS.O servidor DNS, em seguida, dirige-o para o site real. Velocidade e baixa latência são preocupações principais para o DNS, então o protocolo opera sobre UDP em vez de TCP.O DNS é uma parte crítica da infra-estrutura da internet, e a largura de banda consumida por pedidos de DNS geralmente são mínimas.
No entanto, o DNS cresceu lentamente, com novos recursos sendo gradualmente adicionados ao longo do tempo. Isso introduziu um problema: o DNS tinha um limite de tamanho de pacote de 512 bytes, o que não era suficiente para todos esses novos recursos. Assim, em 1999, o IEEE publicou a especificação para mecanismos de extensão para DNS( EDNS), que aumentou a base para 4096 bytes, permitindo que mais informações sejam incluídas em cada solicitação.
Esta alteração, no entanto, tornou o DNS vulnerável a "ataques de amplificação".Um invasor pode enviar solicitações especialmente criadas para servidores DNS, pedindo grandes quantidades de informações e pedindo que sejam enviadas para o endereço IP do seu destino. Uma "amplificação" é criada porque a resposta do servidor é muito maior do que a solicitação gerando, e o servidor DNS enviará sua resposta para o IP forjado.
Muitos servidores de DNS não estão configurados para detectar ou descartar pedidos ruins, então quando os invasores enviam repetidamente solicitações forjadas, a vítima é inundada com enormes pacotes EDNS, congestionando a rede. Incapaz de lidar com tantos dados, o seu tráfego legítimo será perdido.
, então, o que é um ataque distribuído de negação de serviço( DDoS)?
Um ataque distribuído de negação de serviço é aquele que tem múltiplos atacantes( às vezes involuntários).Os sites e aplicativos da Web são projetados para lidar com muitas conexões simultâneas: afinal, os sites não seriam muito úteis se apenas uma pessoa pudesse visitar de cada vez. Serviços gigantes como Google, Facebook ou Amazon são projetados para lidar com milhões ou dezenas de milhões de usuários simultâneos. Por isso, não é viável que um único atacante os traga com um ataque de negação de serviço. Mas muitos atacantes poderiam.
O método mais comum de recrutamento de atacantes é através de uma botnet. Em um botnet, os hackers infectam todo tipo de dispositivos conectados à internet com malware. Esses dispositivos podem ser computadores, telefones ou mesmo outros dispositivos em sua casa, como DVRs e câmeras de segurança. Uma vez infectados, eles podem usar esses dispositivos( chamados de zumbis) para entrar periodicamente em contato com um servidor de comando e controle para solicitar instruções. Esses comandos podem variar de criptografia de mineração para, sim, participar de ataques DDoS.Dessa forma, eles não precisam de uma série de hackers para se unirem - eles podem usar os dispositivos inseguros de usuários normais em casa para fazer seu trabalho sujo.
Outros ataques DDoS podem ser realizados voluntariamente, geralmente por razões politicamente motivadas. Clientes como Low Orbit Ion Cannon tornam os ataques DoS simples e fáceis de distribuir. Tenha em mente que é ilegal na maioria dos países participar( intencionalmente) de um ataque DDoS.
Finalmente, alguns ataques DDoS podem ser involuntários. Originalmente referido como o efeito Slashdot e generalizado como o "abraço da morte", grandes volumes de tráfego legítimo podem paralisar um site. Você provavelmente já viu isso acontecer antes - um site popular liga a um pequeno blog e um grande afluxo de usuários acidentalmente traz o site para baixo. Tecnicamente, isso ainda é classificado como DDoS, mesmo que não seja intencional ou malicioso.
Como posso me proteger contra ataques de negação de serviço?
Os usuários típicos não precisam se preocupar com o alvo de ataques de negação de serviço. Com exceção de streamers e jogadores pro, é muito raro que um DoS seja apontado para um indivíduo. Dito isto, você ainda deve fazer o melhor que puder para proteger seus dispositivos contra malwares que podem fazer parte de uma botnet.
Se você é um administrador de um servidor web, no entanto, há uma grande quantidade de informações sobre como proteger seus serviços contra ataques DoS.A configuração e os dispositivos do servidor podem mitigar alguns ataques. Outros podem ser evitados garantindo que usuários não autenticados não possam executar operações que exijam recursos significativos de servidor. Infelizmente, o sucesso do ataque de DoS é mais frequentemente determinado por quem tem o tubo maior. Serviços como Cloudflare e Incapsula oferecem proteção ao estar em frente aos sites, mas podem ser caros.