Um ataque DDoS visa desativar ou derrubar um site, aplicativo da web, serviço de nuvem ou outro recurso on-line, sobrecarregando-o com solicitações de conexão inúteis, pacotes falsos ou outro tráfego mal-intencionado.
Um ataque DDoS inunda sites com tráfego malicioso, tornando os aplicativos e outros serviços indisponíveis para usuários legítimos. Incapaz de lidar com o volume de tráfego ilegítimo, o alvo fica lento ou trava completamente, tornando-o indisponível para usuários legítimos.
Os ataques DDoS fazem parte da categoria mais ampla, ataques de negação de serviço (ataques DDoS), que inclui todos os cyberattacks que retardam ou interrompem aplicativos ou serviços de rede. Os ataques DDoS são únicos, pois enviam tráfego de ataque de várias fontes ao mesmo tempo, o que coloca o "distribuído" em "negação de serviço distribuída".
Os cibercriminosos usam ataques de DDoS para interromper as operações de rede há mais de 20 anos, mas recentemente sua frequência e potência dispararam. De acordo com um relatório, os ataques de DDoS aumentaram 203% no primeiro semestre de 2022, em comparação com o mesmo período de 2021 (link externo a ibm.com).
Obtenha insights para se preparar e responder a ataques cibernéticos com maior velocidade e eficácia com o IBM Security X-Force Threat Intelligence Index.
Cadastre-se para obter o relatório do custo das violações de dados
Ao contrário de outros ataques cibernéticos, os ataques DDoS não exploram vulnerabilidades nos recursos da rede para violar sistemas de computador. Em vez disso, utilizam protocolos de conexão de rede padrão, como o Hypertext Transfer Protocol (HTTP) e o Transmission Control Protocol (TCP), para inundar endpoints, aplicativos e outros ativos com mais tráfego do que conseguem suportar. Servidores web, roteadores e outras infraestruturas de rede conseguem processar somente um número finito de solicitações e manter um número limitado de conexões em um dado momento. Esgotando a largura de banda disponível de um recurso, os ataques DDoS impedem que esses recursos respondam a solicitações e pacotes de conexão legítimos.
Em termos gerais, um ataque de DDoS tem três estágios.
A escolha do alvo de ataque DDoS decorre da motivação do atacante, que pode variar amplamente. Hackers usaram ataques DDoS para extorquir dinheiro de organizações, exigindo um resgate para acabar com o ataque. Alguns hackers usam DDoS para ativismo, visando organizações e instituições das quais discordam. Agentes inescrupulosos se utilizaram de ataques DDoS para derrubar empresas concorrentes e alguns estados-nação usaram táticas DDoS na guerra cibernética.
Alguns dos alvos de ataque DDoS mais comuns são:
Varejistas on-line. Os ataques DDoS podem causar danos financeiros significativos aos varejistas quando derrubam suas lojas digitais, impossibilitando que os clientes comprem por um período.
Provedores de serviços de nuvem. Os provedores de serviços de nuvem, como a Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform, são alvos populares de ataques de DDoS. Como esses serviços hospedam dados e aplicativos para outras empresas, os hackers podem causar interrupções generalizadas com um único ataque. Em 2020, a AWS foi atingida por um ataque de DDoS maciço (link externo a ibm.com). Em seu pico, o tráfego malicioso disparou 2,3 terabits por segundo.
Instituições financeiras. Ataques DDoS podem deixar os serviços bancários offline, impedindo que os clientes acessem suas contas. Em 2012, seis dos principais bancos dos EUA foram atingidos com ataques DDoS coordenados, o que pode ter sido um ato com motivações políticas (link externo ao site ibm.com).
Provedores de software como serviço (SaaS). Assim como acontece com os provedores de serviços em nuvem, provedores de SaaS como Salesforce, GitHub e Oracle são alvos atraentes porque possibilitam que os hackers comprometam várias organizações ao mesmo tempo. Em 2018, o GitHub sofreu o que foi, na época, o maior ataque de DDoS registrado (link externo ao site ibm.com).
- Empresas de jogos. Os ataques de DDoS podem interromper jogos online, ao inundar seus servidores com tráfego. Esses ataques são muitas vezes lançados por jogadores descontentes com vinganças pessoais, como foi o caso do botnet Mirai, que foi originalmente construído para os servidores Minecraft (link externo a ibm.com).
Um ataque de DDoS geralmente exige um botnet, uma rede de dispositivos conectados à internet infectados com malware que permite que hackers controlem os dispositivos remotamente. As botnets podem incluir laptops e desktops, telefones celulares, dispositivos de IoT e outros terminais comerciais ou de consumo. Os proprietários desses dispositivos comprometidos geralmente não sabem que foram infectados ou que estão sendo usados para um ataque de DDoS.
Alguns criminosos cibernéticos criam seus botnets do zero, enquanto outros compram ou alugam botnets predefinidos sob um modelo conhecido como "denial-of-service como serviço".
(OBSERVAÇÃO: nem todos os ataques DDoS utilizam botnets; alguns exploram as operações normais de dispositivos não infectados para fins maliciosos. Veja 'Ataques Smurf' abaixo.)
Os hackers comandam os dispositivos da botnet para enviar solicitações de conexão ou outros pacotes para o endereço IP do servidor, dispositivo ou serviço de destino. A maioria dos ataques DDoS depende de força bruta, enviando um grande número de solicitações para consumir toda a largura de banda do alvo; alguns ataques DDoS enviam um número menor de solicitações mais complicadas que exigem que o alvo consuma muitos recursos na resposta. Em ambos os casos, o resultado é o mesmo: o tráfego de ataque sobrecarrega o sistema alvo, causando uma negação de serviço e impedindo que o tráfego legítimo acesse o site ou aplicativo da web, API ou rede.
Os hackers geralmente camuflam a origem de seus ataques por meio da falsificação de IP, uma técnica pela qual os cibercriminosos falsificam os endereços IP de origem dos pacotes enviados pela botnet. Em uma forma de falsificação de IP, chamada de “reflexão”, os hackers fazem parecer que o tráfego malicioso foi enviado do endereço IP da própria vítima.
Os tipos de ataque de DDoS são frequentemente denominados ou descritos com base na terminologia do Modelo de referência de interconexão de sistemas abertos (OSI), uma estrutura conceitual que define sete "camadas" de rede (e às vezes é chamada de Modelo de sete camadas OSI).
Como o nome sugere, os ataques na camada de aplicativo têm como alvo a camada de aplicativos (camada 7) do modelo OSI, a camada na qual as páginas da web são geradas em resposta às solicitações do usuário. Os ataques na camada de aplicativos interrompem os aplicativos da web inundando-os com solicitações maliciosas.
Um dos ataques de camada de aplicativo mais comuns é o ataque de inundação de HTTP, no qual um invasor envia continuamente um grande número de solicitações HTTP de vários dispositivos para o mesmo site da web. O site não consegue acompanhar todas as solicitações HTTP e fica mais lento ou trava completamente. Os ataques de inundação HTTP são semelhantes a centenas ou milhares de navegadores da web que atualizam repetidamente a mesma página.
Os ataques à camada de aplicativos são relativamente fáceis de iniciar, mas podem ser difíceis de impedir e minimizar. À medida que mais empresas fazem a transição para o uso de microsserviços e aplicativos baseados em contêiner, o risco de ataques na camada de aplicativos desabilitando serviços críticos da web e da nuvem aumenta.
Os ataques de protocolo têm como alvo a camada de rede (camada 3) e a camada de transporte (camada 4) do modelo OSI. Eles visam sobrecarregar os recursos críticos de rede, como firewalls, balanceadores de carga e servidores web, com solicitações de conexão maliciosas.
Ataques comuns de protocolo incluem:
Ataques de inundação SYN. Um ataque de inundação SYN aproveita a handshake de TCP, o processo pelo qual dois dispositivos estabelecem uma conexão entre si.
Em um handshake TCP típico, um dispositivo envia um pacote SYN para iniciar a conexão, o outro responde com um pacote SYN/ACK para reconhecer a solicitação e o dispositivo original envia de volta um pacote ACK para finalizar a conexão.
Em um ataque de inundação SYN, o invasor envia ao servidor de destino um grande número de pacotes SYN com endereços IP de origem falsificados. O servidor envia sua resposta ao endereço IP falsificado e aguarda o pacote ACK final. Como o endereço IP de origem foi falsificado, esses pacotes nunca chegam. O servidor fica preso a um grande número de conexões incompletas, deixando-o indisponível para handshakes TCP legítimos.
Ataques Smurf. Um ataque Smurf utiliza o Internet Control Message Protocol (ICMP), protocolo de comunicação utilizado para avaliar o status de uma conexão entre dois dispositivos. Em uma troca ICMP típica, um dispositivo envia uma solicitação de repetição ICMP para outro e este último dispositivo responde com um eco ICMP.
Em um ataque smurf, o invasor envia uma solicitação de repetição ICMP de um endereço IP falsificado que corresponde ao endereço IP da vítima. Essa solicitação de eco ICMP é enviada a uma rede de transmissão IP que encaminha a solicitação a todos os dispositivos de uma determinada rede. Todos os dispositivos que recebem a solicitação de eco ICMP, possivelmente centenas ou milhares de dispositivos, respondem enviando uma resposta de eco ICMP de volta ao endereço IP da vítima, inundando o dispositivo com mais informações do que ele é capaz de processar. Ao contrário de muitos outros tipos de ataques DDoS, os ataques smurf não exigem necessariamente uma botnet.
Os ataques DDoS volumétricos consomem toda a largura de banda disponível em uma rede de destino ou entre um serviço de destino e o resto da internet, dessa forma impedindo que usuários legítimos se conectem aos recursos da rede. Ataques volumétricos muitas vezes inundam redes e recursos com quantidades muito altas de tráfego, mesmo em comparação com outros tipos de ataques DDoS. Os ataques volumétricos ficaram conhecidos por sobrecarregarem as medidas de proteção contra DDoS, como os centros de limpeza, que são projetados para filtrar tráfego malicioso de tráfego legítimo.
Os tipos comuns de ataques volumétricos são:
Inundações UDP. Esses ataques enviam pacotes UDP (User Datagram Protocol) falsos para as portas de um host de destino, fazendo com que o host procure um aplicativo para receber esses pacotes. Como os pacotes UDP são falsos, não há nenhum aplicativo para recebê-los, e o host deve enviar uma mensagem ICMP "Destination Unreachable" de volta ao remetente. Os recursos do host ficam sobrecarregados para responder ao fluxo constante de pacotes UDP falsos, deixando o host indisponível para responder a pacotes legítimos.
Inundações ICMP. Também chamados de "ataques de inundação", esses ataques bombardeiam alvos com solicitações de eco ICMP de vários endereços IP falsificados. O servidor alvo deve responder a todas essas solicitações e fica sobrecarregado, não conseguindo processar solicitações de eco ICMP válidas. As inundações de ICMP são diferentes dos ataques smurf porque os invasores enviam um grande número de solicitações de ICMP de seus botnets em vez de enganarem dispositivos de rede para enviarem respostas de ICMP para o endereço IP da vítima.
Ataques de ampliação de DNS. Aqui, o invasor envia várias solicitações de pesquisa de Domain Name System (DNS) para um ou vários servidores DNS públicos. Essas solicitações de pesquisa usam um endereço IP falsificado pertencente à vítima e pedem aos servidores DNS para retornar uma grande quantidade de informações por solicitação. O servidor DNS responde às solicitações inundando o endereço IP da vítima com grandes quantidades de dados.
Como o nome implica, os ataques multivetoriais exploram vários vetores de ataques, para maximizar os danos e frustrar os esforços de mitigação de DDoS. Os invasores podem usar vários vetores simultaneamente ou alternar entre os vetores durante o ataque, quando um vetor é frustrado. Por exemplo, os hackers podem começar com um ataque de smurf, mas uma vez que o tráfego de dispositivos de rede é desligado, podem iniciar uma inundação UDP a partir de seu botnet.
As ameaças DDoS também podem ser usadas combinadas com outros ataques cibernéticos. Por exemplo, os atacantes de ransomware podem pressionar suas vítimas ameaçando executar um ataque DDoS se o resgate não for pago.
Os ataques DDoS persistiram por tanto tempo e se tornaram cada vez mais populares com criminosos cibernéticos ao longo do tempo, porque
- Exigem pouca ou nenhuma habilidade para serem executados. Ao contratar botnets prontas de outros hackers, os cibercriminosos podem facilmente lançar ataques DDoS por conta própria, com pouca preparação ou planejamento.
- São difíceis de detectar. Como os botnets são compostos em grande parte por dispositivos comerciais e de consumidores, pode ser difícil para as organizações separar o tráfego mal-intencionado dos usuários reais. Além disso, os sintomas dos ataques DDoS, serviço lento e sites e aplicativos temporariamente indisponíveis, também podem ser causados por picos repentinos no tráfego legítimo, dificultando a detecção de ataques DDoS em seus estágios iniciais.
- São difíceis de minimizar. Uma vez identificado um ataque DDoS, a natureza distribuída do ataque cibernético significa que as organizações não podem simplesmente bloquear o ataque desabilitando uma única fonte de tráfego. Os controles padrão de segurança de rede destinados a impedir ataques DDoS, como a limitação de taxa, também podem retardar as operações de usuários legítimos.
- Nunca houve tantos dispositivos de botnets em potencial. A ascensão da Internet das Coisas (IoT) deu aos hackers uma rica fonte de dispositivos para serem transformados em bots. Eletrodomésticos, ferramentas e gadgets, incluindo tecnologia operacional (OT), como dispositivos de saúde e sistemas de fabricação, geralmente são vendidos e operados com padrões universais e controles de segurança fracos ou inexistentes, tornando-os particularmente vulneráveis à infecção por malware. Pode ser difícil para os proprietários desses dispositivos perceberem que eles foram comprometidos, já que os dispositivos IoT e OT são frequentemente usados de forma passiva ou com pouca frequência.
Os ataques de DDoS estão se tornando mais sofisticados à medida que os hackers adotam ferramentas de inteligência artificial (IA) e machine learning (ML) para ajudar a direcionar seus ataques. Isso levou a um aumento nos ataques de DDoS adaptativos, que usam IA e ML para encontrar os aspectos mais vulneráveis dos sistemas e mudar automaticamente os vetores de ataques e estratégias em resposta aos esforços de mitigação de DDoS de uma equipe de cibersegurança.
O objetivo de um ataque de DDoS é interromper as operações do sistema, o que pode gerar um alto custo para as organizações. De acordo com o relatório Cost of a Data Breach 2022 da IBM, as interrupções de serviço, o tempo de inatividade do sistema e outras interrupções de negócios causadas por um ataque cibernético custam às organizações, em média, US$ 1,42 milhão. Em 2021, um ataque de DDoS custou a um provedor de VoIP quase US$ 12 milhões (link externo a ibm.com).
O maior ataque de DDoS registrado, que gerou 3,47 terabits de tráfego malicioso por segundo, foi direcionado a um cliente do Microsoft Azure em novembro de 2021 (link externo a ibm.com). Os invasores usaram um botnet de 10 mil dispositivos de todo o mundo para bombardear a vítima com 340 milhões de pacotes por segundo.
Os ataques de DDoS também foram utilizados contra governos, incluindo um ataque de 2021 na Bélgica (link externo a ibm.com). Os hackers atacaram um provedor de serviços de Internet (ISP) administrado pelo governo para cortar as conexões de Internet de mais de 200 agências governamentais, universidades e institutos de pesquisa.
Cada vez mais, os hackers estão usando DDoS não como o ataque principal, mas para distrair a vítima de um crime cibernético mais grave – por exemplo, exfiltração de dados ou implantação de ransomware em uma rede enquanto a equipe de segurança cibernética está ocupada com defesa do ataque DDoS.
Os esforços de mitigação e proteção de DDoS normalmente se concentram em desviar o fluxo de tráfego malicioso o mais rápido possível, como rotear o tráfego da rede para centros de depuração ou usar balanceadores de carga para redistribuir o tráfego dos ataques. Para esse fim, as empresas que pretendem proteger suas defesas contra ataques DDoS podem adotar tecnologias capazes de identificar e interceptar tráfego malicioso, incluindo:
- Firewalls de aplicativos da web. Atualmente, a maioria das organizações utiliza firewalls de perímetro e de aplicativos da web (WAFs) para proteger suas redes e aplicativos contra atividades maliciosas. Embora os firewalls padrão protejam no nível da porta, os WAFs garantem a segurança das solicitações antes de encaminhá-las para servidores web. O WAF sabe quais tipos de solicitações são legítimas e quais não são, o que possibilita que ele elimine o tráfego mal-intencionado e impeça os ataques na camada de aplicativos.
Redes de distribuição de conteúdo (CDNs). Uma CDN é uma rede de servidores distribuídos que ajuda os usuários a acessar serviços on-line de forma mais rápida e confiável. Com uma CDN implementada, as solicitações dos usuários não voltam para o servidor de origem do serviço. Em vez disso, são encaminhadas para um servidor CDN geograficamente mais próximo, que entrega o conteúdo. Os CDNs podem ajudar a proteger contra ataques DDoS, aumentando a capacidade geral de tráfego de um serviço. Caso um servidor CDN seja derrubado por um ataque de DDoS, o tráfego do usuário pode ser encaminhado para outros recursos de servidor disponíveis na rede.
- SIEM (informações de segurança e gerenciamento de eventos). Os sistemas SIEM oferecem uma variedade de funções para detectar ataques DDoS e outros ataques cibernéticos no início de seus ciclos de vida, incluindo gerenciamento de registros e insights de rede. As soluções SIEM entregam gerenciamento centralizado de dados de segurança gerados por ferramentas de segurança locais e baseadas em nuvem. Os SIEMs podem monitorar dispositivos e aplicativos conectados em busca de incidentes de segurança e comportamentos anormais, como pings excessivos ou solicitações de conexão ilegítimas. O SIEM então sinaliza essas anomalias para que a equipe de segurança cibernética tome as medidas apropriadas.
- Tecnologias de detecção e resposta. Detecção e resposta de endpoint (EDR), detecção e resposta de rede (NDR) e soluções estendidas de detecção e resposta (XDR) usam análise de dados avançada e IA para monitorar a infraestrutura de rede em busca de indicadores de comprometimento, como padrões anormais de tráfego, que podem significar ataques de DDoS, e recursos de automação para responder a ataques contínuos em tempo real (por exemplo, encerrar conexões de rede suspeitas).
Capture ameaças ocultas à espreita na sua rede antes que seja tarde demais. O IBM Security QRadar Network Detection and Response (NDR) ajuda suas equipes de segurança analisando a atividade da rede em tempo real. `Combina profundidade e amplitude de visibilidade com dados e análises de alta qualidade para proporcionar insights e respostas práticos.
Tenha a proteção de segurança que sua empresa precisa para melhorar a prontidão para violações com uma assinatura de retenção de resposta a incidentes do IBM Security. Quando você colabora com nossa equipe de consultores de RI de elite, conta com parceiros confiáveis prontos para ajudar a reduzir o tempo de resposta a um incidente, minimizar seu impacto e auxiliar na recuperação mais rápida, tudo isso antes que um incidente de cibersegurança seja suspeito.
Combine expertise com inteligência de ameaças para enriquecer sua análise de ameaças e automatizar sua plataforma de ameaças cibernéticas.
Um cyberattack tenta roubar informações confidenciais ou desabilitar sistemas críticos por meio de acesso não autorizado a redes ou dispositivos de computador.
Ransomware é um malware que mantém os dispositivos e dados das vítimas como reféns até o pagamento de um regate.
Um plano formal de resposta a incidentes permite que as equipes de segurança cibernética limitem ou evitem danos de ataques cibernéticos ou violações de segurança.