Negação de serviço distribuída (Distributed Denial of Service, DDoS)

Um DDoS é uma tentativa de esgotar os recursos disponíveis para uma rede, aplicativo ou serviço, para que os usuários verdadeiros não possam obter acesso.

Começando em 2010, e direcionado em grande parte, pela ascensão do hacktivismo, vimos um renascimento dos ataques DDoS que levou à inovação nas áreas de ferramentas, metas e técnicas. Hoje, a definição de um ataque DDoS continua a ficar mais complicada. Os criminosos cibernéticos utilizam uma combinação de ataques de volume muito alto, além de infiltrações mais sutis e difíceis de detectar que visam aplicativos, bem como a infraestrutura de segurança de rede existente, como firewalls e IPS.

Quais são os diferentes tipos de ataques DDoS?

Os ataques distribuídos de negação de serviço variam significativamente, e existem milhares de maneiras diferentes de realizar um ataque (vetores de ataque), mas um vetor de ataque geralmente se enquadra em uma das três categorias gerais:

Ataques volumétricos
Ataques de esgotamento de estado do TCP
Ataques da camada de aplicativos

Ataques volumétricos

Os ataques volumétricos tentam consumir a largura de banda na rede/serviço de destino ou entre a rede/serviço de destino e o restante da Internet. Esses ataques são simplesmente sobre causar congestionamento.

Ataques de esgotamento de estado do TCP

Os ataques de exaustão TCP tentam consumir as tabelas de estado de conexão que estão presentes em muitos componentes de infraestrutura, como balanceadores de carga, firewalls e os próprios servidores de aplicativos. Mesmo dispositivos de alta capacidade capazes de manter o estado em milhões de conexões podem ser eliminados por esses ataques.

Ataques da camada de aplicativos

A camada de aplicativos ataca qualquer aspecto de um aplicativo ou serviço na Camada-7. Estes são os tipos de ataques mais mortais, pois podem ser muito eficazes com apenas uma máquina atacante gerando uma baixa taxa de tráfego (isso torna esses ataques muito difíceis de detectar e mitigar proativamente). Ataques de camada de aplicativos têm vindo a prevalecer nos últimos três ou quatro anos e ataques de inundação de camada de aplicativo simples (inundação HTTP GET etc.) têm sido alguns dos ataques de negação de serviço mais comuns vistos na natureza.

Os invasores sofisticados de hoje estão combinando ataques de esgotamento volumétrico, esgotamento de estado e camada de aplicativos contra dispositivos de infraestrutura, tudo em um único ataque sustentado. Esses ataques cibernéticos são populares porque são difíceis de defender e, muitas vezes, altamente eficazes.

O problema não termina aí. De acordo com a Frost & Sullivan, os ataques DDoS estão sendo "cada vez mais utilizados como uma tática de desvio para ataques persistentes direcionados”. Os invasores estão usando ferramentas DDoS para distrair as equipes de segurança e de rede e, ao mesmo tempo, tentar injetar ameaças persistentes avançadas, como malwares na rede, com o objetivo de roubar dados de IP e/ou de clientes críticos ou financeiros.

Glossário de ataques DDoS

Por que os ataques DDoS são tão perigosos?

O DDoS representa uma ameaça significativa à continuidade dos negócios. À medida que as organizações se tornaram mais dependentes da Internet e dos aplicativos e serviços baseados na web, a disponibilidade se tornou tão essencial quanto a eletricidade.

O DDoS não é apenas uma ameaça para varejistas, serviços financeiros e empresas de jogos com uma necessidade óbvia de disponibilidade. Os ataques DDoS também têm como alvo os aplicativos comerciais essenciais que sua organização utiliza para gerenciar operações diárias, como e-mail, automação da equipe de vendas, CRM e muitos outros. Além disso, outras indústrias, como manufatura, farmacêutica e de saúde, possuem propriedades da web internas que a cadeia de suprimentos e outros parceiros de negócios dependem para as operações comerciais diárias. Todos esses são alvos dos sofisticados ataques cibernéticos atuais.

Computadores de crânio de ataque de inundação HTTP focam no site

Quais são as consequências de um ataque DDoS bem-sucedido?

Quando um site ou aplicativo público está indisponível, isso pode levar a clientes irritados, perda de receita e danos à marca. Quando aplicativos críticos para os negócios ficam indisponíveis, as operações e a produtividade ficam paralisadas. Sites internos dos quais os parceiros confiam significam a cadeia de suprimentos e a interrupção da produção.

Uma campanha DDoS bem-sucedida também significa que sua organização convidou mais ataques. Você pode esperar que os ataques continuem até que as defesas DDoS mais robustas sejam implementadas.

Ataques por inundação SYN atacam setas verdes e cinza visando dispositivos

Quais são suas opções de proteção contra DDoS?

Dada a natureza de alto perfil dos ataques DDoS e suas consequências potencialmente devastadoras, muitos fornecedores de segurança começaram a oferecer soluções de proteção contra DDoS. Com tanto peso em sua decisão, é fundamental entender os pontos fortes e fracos de suas opções.

Sinais de um ataque de leitura lenta entrelaçam flechas saindo da esquerda

Soluções de infraestrutura existentes

(Firewalls, sistemas de detecção/proteção de intrusão, controladores de entrega de aplicativos/balanceadores de carga)

Dispositivos IPS, firewalls e outros produtos de segurança são elementos essenciais de uma estratégia de defesa em camadas, mas foram projetados para resolver problemas de segurança que são fundamentalmente diferentes dos produtos de detecção e mitigação de DDoS dedicados. Dispositivos IPS, por exemplo, bloqueiam tentativas de invasão que causam roubo de dados. Enquanto isso, um firewall atua como aplicador de políticas para impedir o acesso não autorizado a dados. Embora esses produtos de segurança abordem com eficácia a “integridade e confidencialidade da rede”, eles não abordam uma preocupação fundamental com relação aos ataques DDoS: ”disponibilidade da rede”. Além disso, os dispositivos e firewalls IPS são soluções integradas e com estado, o que significa que são vulneráveis a ataques DDoS e, muitas vezes, se tornam os próprios alvos.

Semelhante ao IDS/IPS e firewalls, os ADCs e os balanceadores de carga não têm visibilidade de tráfego de rede mais ampla nem inteligência de ameaças integrada, e também são dispositivos com monitoramento de estado vulneráveis. O aumento de ameaças volumétricas e ataques mesclados em nível de aplicativo, fazem dos ADCs e dos balanceadores de carga uma solução limitada e parcial para os clientes que exigem a melhor proteção contra DDoS.

Temporizador de rede CDN para ataques Slow Post

Redes de entrega de conteúdo (CDN)

A verdade é que uma CDN aborda os sintomas de um ataque DDoS, mas simplesmente absorve esses grandes volumes de dados. Deixa toda a informação entrar. Todas são bem-vindas. Existem três advertências aqui. A primeira é que deve haver largura de banda disponível para absorver esse tráfego de alto volume, e alguns desses ataques baseados em volumétricas estão excedendo 300 Gbps, e há um preço para toda a capacidade de capacidade. Em segundo lugar, existem maneiras de contornar a CDN. Nem toda página ou recurso utilizará a CDN. Terceiro, uma CDN não pode proteger de um ataque baseado em aplicativo. Então, deixe a CDN fazer o que foi planejado.

Firewalls de aplicativos da web protegendo contra ataques

Web Application Firewall (WAF)

Um WAF é um dispositivo dinâmico de processamento de pacotes projetado para interromper ataques de aplicativos baseados na web e, portanto, não impede todos os tipos de ataques DDoS, como ataques de exaustão no estado TCP. Qualquer tipo de ataque por reflexão ou amplificação usando inúmeras fontes sobrecarregaria um WAF, inutilizando toda a solução. O resultado é que essas duas tecnologias são complementares em seu uso para proteger as organizações contra ataques, mas um WAF não protegerá contra os extensos vetores dos ataques DDoS.

Qual é a abordagem da NETSCOUT para proteção contra DDoS?

A solução Arbor DDoS da NETSCOUT há mais de uma década protege as maiores e mais exigentes redes do mundo contra ataques DDoS. Temos convicção de que a melhor maneira de proteger seus recursos de ataques modernos de DDoS é por meio de uma implementação multicamadas de soluções de mitigação de DDoS criadas especificamente para este fim.

Somente com uma defesa multicamadas altamente integrada você pode proteger adequadamente sua organização contra todos os espectros de ataques DDoS.

Os clientes da NETSCOUT desfrutam de uma vantagem competitiva considerável, proporcionando uma visão micro da sua própria rede através dos nossos produtos, combinada com uma visão macro do tráfego global da Internet através da NETSCOUT Cyber Threat Horizon, uma interface para nossa visualização de inteligência de ameaças ATLAS e do mapa de ataque DDoS.