84 lines
8.5 KiB
Markdown
84 lines
8.5 KiB
Markdown
|
---
|
|||
|
title: DDoS Distributed Denial of Service
|
|||
|
localeTitle: Negação de Serviço Distribuída DDoS
|
|||
|
---
|
|||
|
Um ataque de negação de serviço (DOS) ocorre quando o invasor tenta interromper os serviços de um servidor, bombardeando-o com várias solicitações falsas e impedindo que usuários reais acessem o serviço. Um ataque distribuído do DOS ocorre quando o ataque acontece de vários locais ao mesmo tempo, dificultando muito a detecção e o tratamento do ataque pela equipe de segurança cibernética.
|
|||
|
|
|||
|
Um ataque DDoS (Distributed Denial of Service) é uma tentativa de indisponibilizar um serviço online ou um site sobrecarregando-o com grandes inundações de tráfego geradas por várias fontes.
|
|||
|
|
|||
|
Ao contrário de um ataque Denial of Service (DoS), no qual um computador e uma conexão com a Internet são usados para inundar um recurso direcionado com pacotes, um ataque DDoS usa muitos computadores e muitas conexões com a Internet, geralmente distribuídas globalmente no que é chamado de botnet. .
|
|||
|
|
|||
|
Ataques DDoS são geralmente direcionados a grandes corporações onde a negação de um serviço por alguns minutos pode se traduzir em milhões de dólares perdidos.
|
|||
|
|
|||
|
Existem vários tipos de ataques de DDoS e o melhor ataque é determinado examinando as vulnerabilidades do alvo.
|
|||
|
|
|||
|
### Tipos de ataques DDoS
|
|||
|
|
|||
|
Os ataques DDoS podem ser categorizados em três categorias -
|
|||
|
|
|||
|
1. Ataques baseados em volume
|
|||
|
2. Protocolos de ataques
|
|||
|
3. Ataques de camada de aplicativo
|
|||
|
|
|||
|
### Ataques Baseados em Volume
|
|||
|
|
|||
|
Ataques baseados em volume incluem inundações de TCP, inundações de UDP, inundações de ICMP e outras inundações de spoofedpacket. Estes também são chamados de ataques de camada 3 e 4 \*. Aqui, um invasor tenta saturar a largura de banda do site de destino. A magnitude do ataque é medida em bits por segundo (bps).
|
|||
|
|
|||
|
* **UDP Flood** - Um flood UDP é usado para inundar portas aleatórias em um host remoto com vários pacotes UDP, mais especificamente o número de porta 53. Firewalls especializados podem ser usados para filtrar ou bloquear pacotes UDP mal-intencionados.
|
|||
|
|
|||
|
* **Flooding ICMP** - É semelhante ao flood UDP e usado para inundar um host remoto com várias solicitações de eco ICMP. Esse tipo de ataque pode consumir largura de banda de saída e de entrada e um grande volume de solicitações de ping resultará em lentidão geral do sistema.
|
|||
|
|
|||
|
* **HTTP Flood** - O invasor envia solicitações HTTP GET e POST para um servidor da Web de destino em um grande volume que não pode ser manipulado pelo servidor e leva à negação de conexões adicionais de clientes legítimos.
|
|||
|
|
|||
|
* **Ataque de amplificação** - O atacante faz uma solicitação que gera uma grande resposta que inclui solicitações de DNS para grandes registros TXT e solicitações HTTP GET para arquivos grandes, como imagens, PDFs ou qualquer outro arquivo de dados.
|
|||
|
|
|||
|
|
|||
|
### Protocolos de ataques
|
|||
|
|
|||
|
Os ataques de protocolo incluem inundações de SYN, Ping of Death, ataques de pacotes fragmentados, DDoS de Smurf, etc. Esse tipo de ataque consome recursos reais do servidor e outros recursos, como firewalls e balanceadores de carga. A magnitude do ataque é medida em pacotes por segundo.
|
|||
|
|
|||
|
* **Inundação de DNS** - inundações de DNS são usadas para atacar a infra-estrutura e um aplicativo DNS para sobrecarregar um sistema de destino e consumir toda a largura de banda de rede disponível.
|
|||
|
|
|||
|
* **SYN Flood** - O invasor envia solicitações de conexão TCP mais rapidamente do que a máquina de destino pode processá-las, causando saturação da rede. Os administradores podem ajustar as pilhas TCP para atenuar o efeito de inundações SYN. Para reduzir o efeito de inundações de SYN, você pode reduzir o tempo limite até que uma pilha libere a memória alocada para uma conexão ou elimine seletivamente conexões de entrada usando um firewall ou iptables.
|
|||
|
|
|||
|
* **Ping of Death** - O atacante envia pacotes malformados ou superdimensionados usando um simples comando ping. O IP permite o envio de pacotes de 65,535 bytes, mas o envio de um pacote de ping com mais de 65.535 bytes viola o Internet Protocol e pode causar o estouro de memória no sistema de destino e, finalmente, travar o sistema. Para evitar ataques de Ping of Death e suas variantes, muitos sites bloqueiam mensagens de ping ICMP completamente em seus firewalls.
|
|||
|
|
|||
|
|
|||
|
### Ataques de camada de aplicativo
|
|||
|
|
|||
|
Ataques de camada de aplicativo incluem Slowloris, ataques DDoS de dia zero, ataques DDoS que visam vulnerabilidades do Apache, do Windows ou do OpenBSD e muito mais. Aqui o objetivo é travar o servidor web. A magnitude do ataque é medida em Solicitações por segundo.
|
|||
|
|
|||
|
* **Ataque à Aplicação** - Também chamado de Ataque à Camada 7, em que o invasor faz log-in excessivo, pesquisa de banco de dados ou solicitações de pesquisa para sobrecarregar o aplicativo. É realmente difícil detectar ataques de Camada 7 porque eles se assemelham ao tráfego legítimo do site.
|
|||
|
|
|||
|
* **Slowloris** - O invasor envia um grande número de cabeçalhos HTTP para um servidor da Web segmentado, mas nunca conclui uma solicitação. O servidor de destino mantém cada uma dessas conexões falsas abertas e, eventualmente, transborda o conjunto máximo de conexões simultâneas e leva à negação de conexões adicionais de clientes legítimos.
|
|||
|
|
|||
|
* **NTP Amplification** - O invasor explora servidores NTP (Network Time Protocol) de acesso público para sobrecarregar o servidor de destino com o tráfego UDP (User Datagram Protocol).
|
|||
|
|
|||
|
* **Ataques DDoS de dia** zero - Uma vulnerabilidade de dia zero é uma falha de sistema ou aplicativo desconhecida anteriormente pelo fornecedor e que não foi corrigida nem corrigida. Estes são novos tipos de ataques que surgem dia a dia, por exemplo, explorando vulnerabilidades para as quais nenhum patch foi liberado.
|
|||
|
|
|||
|
|
|||
|
### Como corrigir um ataque DDoS
|
|||
|
|
|||
|
Existem algumas opções de proteção contra DDoS que você pode aplicar dependendo do tipo de ataque de DDoS.
|
|||
|
|
|||
|
Sua proteção contra DDoS começa com a identificação e o fechamento de todas as possíveis vulnerabilidades do sistema operacional e do nível do aplicativo em seu sistema, fechando todas as portas possíveis, removendo o acesso desnecessário do sistema e ocultando seu servidor atrás de um proxy ou sistema CDN.
|
|||
|
|
|||
|
Se você vir uma baixa magnitude do DDoS, poderá encontrar muitas soluções baseadas em firewall que podem ajudá-lo a filtrar o tráfego baseado em DDoS. Mas se você tem um alto volume de ataques DDoS como em gigabits ou até mais, então você deve ter a ajuda de um provedor de serviços de proteção DDoS que ofereça uma abordagem mais holística, pró-ativa e genuína.
|
|||
|
|
|||
|
Você deve ter cuidado ao abordar e selecionar um provedor de serviços de proteção contra DDoS. Há vários provedores de serviços que desejam aproveitar sua situação. Se você informá-los de que está sob ataque de DDoS, eles começarão a oferecer uma variedade de serviços a custos excessivamente altos.
|
|||
|
|
|||
|
Podemos sugerir uma solução simples e funcional que comece com uma pesquisa por um bom provedor de soluções DNS que seja flexível o suficiente para configurar os registros A e CNAME do seu site. Segundo, você precisará de um bom provedor de CDN que possa lidar com um grande tráfego de DDoS e fornecer a você um serviço de proteção contra DDoS como parte de seu pacote de CDN.
|
|||
|
|
|||
|
Suponha que o endereço IP do seu servidor seja AAA.BBB.CCC.DDD. Então você deve fazer a seguinte configuração de DNS -
|
|||
|
|
|||
|
* Crie um registro A no arquivo de zona DNS como mostrado abaixo com um identificador de DNS, por exemplo, ARECORDID e mantenha-o em segredo no mundo externo.
|
|||
|
* Agora, peça ao seu provedor CDN para vincular o identificador DNS criado a um URL, algo como cdn.someotherid.domain.com.
|
|||
|
* Você usará o CDN URL cdn.someotherid.domain.com para criar dois registros CNAME, o primeiro a apontar para www e o segundo registro para apontar para @ como mostrado abaixo.
|
|||
|
|
|||
|
Você pode obter ajuda do administrador do sistema para entender esses pontos e configurar seu DNS e CDN adequadamente. Finalmente, você terá a seguinte configuração no seu DNS.
|
|||
|
|
|||
|
### Mais Informações
|
|||
|
|
|||
|
* [Compreender os ataques de negação de serviço](https://www.us-cert.gov/ncas/tips/ST04-015)
|
|||
|
* [Visualização de ataques DDoS no mundo](http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&list=0&time=17462&view=map "Visualização de ataques DDoS no mundo")
|
|||
|
* [Artigo do Kotaku sobre o DDoS](https://kotaku.com/how-ddos-attacks-work-and-why-theyre-so-hard-to-stop-1676445620)
|