O que é um ataque DDOS e como ele pode destruir um site ou jogo?
Se você já esteve online nos últimos anos, provavelmente já ouviu falar de serviços sendo forçados a ficar offline durante um ataque DDoS. Sem aviso, seu site ou videogame favorito não está mais online porque alguém ou algo o está executando um "DDoS".
Embora o termo DDoS pareça enigmático, agora faz parte do léxico comum da Internet. Mas se você ainda não tem certeza do que é um ataque DDoS e como um DDoS pode travar um videogame, continue lendo.
O que é um ataque DDoS?
DDoS significa negação de serviço distribuída e é o nome dado a um ataque que sobrecarrega um serviço com solicitações, forçando-o a ficar offline.
Quando você ouve falar de um site ou videogame sendo retirado do ar por hackers, muitas vezes, isso significa que eles estão sofrendo um ataque DDoS. Os invasores visam um site, serviço ou videogame específico e inundam os servidores em execução com solicitações de dados. O número de solicitações pode sobrecarregar rapidamente a infraestrutura do servidor que hospeda o serviço, forçando-o a ficar offline.
Um ataque DDoS às vezes é chamado de DDoSing.
Como funciona um ataque DDoS?
Em um ataque DDoS, os dados não precisam ser vários arquivos grandes solicitados para download. Na verdade, geralmente é o oposto, onde milhares de máquinas fazem pequenas solicitações de dados simultaneamente. Embora cada solicitação individual seja pequena, o número de solicitações amplifica o efeito em milhares de dispositivos.
Então, quem controla milhares de computadores que eles podem usar para enviar solicitações a um único servidor?
Na maior parte, os ataques DDoS vêm de grandes botnets , grupos de computadores comprometidos sob o controle de um invasor. O invasor pode apontar o poder de seu botnet para um alvo, inundando o site ou os servidores de videogame com solicitações, deixando-os offline.
Direcionar um grande volume de tráfego para a vítima interrompe qualquer tráfego regular que acesse o site ou videogame, causando uma negação de serviço. O fato de o tráfego vir de várias fontes significa que o ataque é distribuído, daí o ataque de negação de serviço distribuído.
A qualquer momento, pode haver vários ataques DDoS ocorrendo em todo o mundo. É mais provável que você ouça falar deles quando colocarem um serviço principal offline, mas você pode usar o Mapa de Ataque Digital como uma aproximação do que está acontecendo.
Tal como acontece com a maioria dos tipos de ataques cibernéticos, existem muitos tipos diferentes de ataques DDoS. DDoS é o termo genérico dado ao estilo de ataque, mas há muitas opções diferentes para os invasores .
Ataque de camada de aplicativo
Um ataque DDoS na camada de aplicativo tem como alvo solicitações de sites, fazendo um número substancial de solicitações de dados simultaneamente. Por exemplo, o invasor pode fazer milhares de solicitações para baixar um arquivo específico, fazendo com que o servidor fique lento para um rastreamento.
Essas solicitações são quase indistinguíveis das solicitações de usuários regulares, o que torna difícil mitigar um ataque DDoS na camada de aplicativo.
Os ataques DDoS na camada de aplicativo se concentram principalmente em perturbar o tráfego HTTP. Um tipo de ataque DDoS comum na camada de aplicativo é o HTTP Flood, em que um invasor cria tantas solicitações HTTP o mais rápido possível. Pense nisso como clicar no botão de atualização do navegador milhares de vezes, mas milhares de outros navegadores também estão atualizando simultaneamente.
Ataque de protocolo
Um ataque DDoS de protocolo tem como alvo a rede da vítima, visando recursos do servidor de uma natureza diferente. Por exemplo, um ataque de protocolo pode sobrecarregar um firewall ou balanceador de carga, fazendo com que parem de operar.
Um ataque DDoS SYN Flood é um exemplo útil. Quando você faz uma solicitação na internet, três coisas acontecem. Primeiro, a solicitação de dados, conhecida como SYN (abreviação de Synchronization). Em segundo lugar, a resposta à solicitação de dados, conhecida como ACK (abreviação de Acknowledgement). Finalmente, o SYN-ACK, que é essencialmente o solicitante confirmando a chegada dos dados. Parece confuso, mas acontece em um piscar de olhos.
O SYN Flood basicamente envia pilhas de pacotes SYN falsos de endereços IP falsos, o que significa que o ACK responde a um endereço falso, que por sua vez nunca responde. O pedido fica parado enquanto mais pessoas entram, causando uma negação de serviço.
Ataque Volumétrico
Um ataque DDoS volumétrico pode funcionar de forma semelhante a um ataque da camada de aplicativo, inundando o servidor de destino com solicitações, mas com um modificador que pode amplificar o número de solicitações simultâneas.
A amplificação de DNS é um dos tipos mais comuns de ataque DDoS e um excelente exemplo de ataque volumétrico. Quando o invasor faz uma solicitação ao servidor, ela inclui um endereço falsificado, geralmente o endereço IP do próprio alvo. Cada solicitação retorna ao endereço IP de destino, ampliando o número de solicitações.
Por que usar um ataque DDoS?
Existem muitos motivos pelos quais um invasor opta por um alvo de DDoS, como cobertura para um vetor de ataque diferente ou para causar danos financeiros à vítima.
- Interrupção do serviço: na raiz do DDoS está uma interrupção do serviço. Se você inundar os servidores com solicitações, os usuários regulares não poderão acessar o serviço. Em alguns casos, ataques DDoS têm sido usados para derrubar os concorrentes off-line, forçando os usuários do serviço a desertar para o concorrente on-line.
- Hacktivismo e política: alguns grupos hacktivistas, como o Anonymous, são bem conhecidos por usar ataques DDoS para colocar seus alvos offline por períodos prolongados. Um ataque DDoS pode custar uma empresa ou outra organização substancialmente em termos de tempo de inatividade, custos de servidor, taxas de dados, engenheiros e muito mais. Da mesma forma, colocar sites do governo offline usando um DDoS pode forçar um governo a agir ou é uma demonstração de protesto.
- Cobertura para um ataque maior: A atividade DDoS pode, na verdade, ser uma cobertura para um vetor de ataque diferente, executando interferência para manter uma equipe de TI ou resposta cibernética ocupada. Ao mesmo tempo, o verdadeiro ataque ocorre em outro lugar. Houve vários exemplos de empreendimentos criminosos usando essa técnica de distração DDoS para cometer outros crimes.
- Mexendo / Explorando / Testando: Às vezes, um DDoS acontece porque alguém, em algum lugar, está testando uma nova técnica ou script e deu errado (ou funciona perfeitamente!).
Essas são apenas quatro razões pelas quais um invasor pode fazer um DDoS em um videogame ou site. Existem mais razões por aí.
Um ataque DDoS é ilegal?
Sim, em uma palavra. Um ataque DDoS é ilegal de acordo com a Lei de Fraude e Abuso de Computadores nos Estados Unidos, a Lei de Uso Indevido de Computadores no Reino Unido e acarreta uma pena máxima de 10 anos de prisão no Canadá.
As leis e interpretações variam em todo o mundo, mas a maioria dos países com políticas de segurança cibernética e abuso de computador em funcionamento definem um ataque DDoS como atividade ilegal.
DDoS como serviço
Você já ouviu falar de Software-as-a-Service (SaaS) e talvez de Infrastructure-as-a-Service (IaaS), mas e o DDoSaaS? Isso mesmo, kits e plataformas de "Negação de serviço distribuída como um serviço" estão disponíveis em fóruns de hackers dark web.
Em vez de perder tempo construindo um botnet, um suposto invasor pode pagar ao proprietário de um botnet existente para apontar sua rede para um alvo. Esses serviços geralmente carregam o nome de "estressor", o que significa que você pode usá-los para testar sua rede contra um invasor teórico.
No entanto, sem verificação de clientes e sem medidas tomadas para garantir a propriedade do servidor, essas plataformas DDoSaaS estão sujeitas a abusos.
Exemplos de ataque DDoS
Concluindo, aqui estão alguns exemplos importantes de ataques DDoS dos últimos anos. De acordo com o Relatório de tendências e ameaças cibernéticas da Neustar para o 1º / 2º trimestre de 2020 [PDF, inscrição necessária], o número de ataques que fornecem uma carga de dados sustentada acima de 100 Gbps aumentou mais de 250% em um período de 12 meses.
A lista a seguir ajuda a ilustrar o tamanho variável entre os ataques DDoS e como esse tamanho cresceu nos últimos anos.
- Setembro de 2016. O recém-descoberto botnet Mirai ataca o site do jornalista de segurança Brian Krebs com 620 Gbps, interrompendo enormemente seu site, mas falhando devido à proteção DDoS da Akamai. O botnet Mirai aproveita os dispositivos da Internet das Coisas para aumentar seus recursos.
- Setembro de 2016. O botnet Mirai ataca o host francês OVH, aumentando para cerca de 1Tbps.
- Outubro de 2016. Um enorme ataque derrubou a maioria dos serviços de Internet na costa leste dos EUA. O ataque foi direcionado ao provedor de DNS Dyn, com seus serviços recebendo um tráfego estimado de 1,2 Tbps, fechando temporariamente sites como Airbnb, Amazon, Fox News, GitHub, Netflix, PayPal, Twitter, Visa e Xbox Live.
- Novembro de 2016. Mirai atinge ISPs e provedores de serviços móveis na Libéria, derrubando a maioria dos canais de comunicação em todo o país.
- Março de 2018. GitHub é atingido com o maior DDoS registrado na época, registrando cerca de 1,35 Tbps em tráfego sustentado.
- Março de 2018. A empresa de segurança de rede Arbor Networks afirma que seu tráfego global ATLAS e sistema de monitoramento de DDoS registram 1,7Tbps.
- Fevereiro de 2020. Amazon Web Services (AWS) foi atingido por um ataque de 2,3 Tbps, embora a Amazon não tenha revelado o verdadeiro alvo do ataque DDoS.
Houve muitos outros ataques DDoS fora desses sete, e muitos mais ocorrerão – provavelmente aumentando em capacidade.
Ataques DDoS não param
Embora os ataques DDoS continuem a derrubar servidores, sites e serviços de videogame, os invasores verão isso como uma opção viável.