Que tipos de ataques DDoS em sites existem e qual política configurar

Nos últimos anos, os ataques DDoS, também conhecidos como ataques Distributed Denial of Service, tornaram-se uma das principais ameaças a milhares de sites e a preocupação de milhares de empresas em todo o mundo. Para mitigar os ataques DDoS que um invasor pode realizar, geralmente são contratados serviços de CDN, como Cloudflare, que nos permitem habilitar um sistema anti-DDoS. É aconselhável ativar este serviço apenas em caso de ataque ou é melhor deixá-lo sempre ativado? Hoje neste artigo vamos falar sobre as duas políticas que podemos seguir.

Operação de um ataque DDoS e tipos

Que tipos de ataques DDoS em sites existem

Os hackers usam ataques DDoS para derrubar páginas da web ou diferentes serviços que uma determinada empresa possui na Internet. Isso significa que qualquer empresa, grande ou pequena, é continuamente ameaçada por esses tipos de ataques. Embora os ataques DDoS estejam sendo realizados continuamente na Internet, apenas alguns deles são poderosos o suficiente para derrubar completamente um site, já que hoje temos serviços de CDN para mitigar ao máximo esse tipo de ataque. O objetivo que os invasores têm com esse tipo de ataque são os seguintes:

  • Sites de comércio eletrônico.
  • Aplicativos online, como os do banco.
  • plataformas educacionais.
  • Sites dos diferentes Governos.
  • Qualquer serviço exposto à Internet.

Os invasores costumam aproveitar diferentes redes de dispositivos infectados com malware, para começar a enviar uma grande quantidade de dados ou para abrir conexões com um servidor específico, ou seja, costumam usar botnets, próprios ou “alugados” por alguns dias. horas, e no mundo do cibercrime você pode comprar o controle total de uma botnet para atacar um alvo sem muitos problemas.

Atualmente existem vários tipos diferentes de ataques DDoS, dependendo de como são realizados e qual é o nosso objetivo, podemos usar um tipo ou outro, e até uma combinação de vários.

Volumétrico

Os ataques volumétricos são aqueles que visam saturar completamente a largura de banda disponível de um alvo específico. Esses tipos de ataques também são conhecidos como ataques baseados em volume, pois enviam centenas de GB por segundo por meio de uma botnet que eles compraram. Dessa forma, ao saturar a largura de banda que vai para o servidor, os usuários legítimos que desejam acessar o serviço não poderão fazê-lo, causando uma negação de serviço.

Alguns dos ataques volumétricos mais comuns são os seguintes:

  • Amplificação de DNS : Consiste em aproveitar o protocolo DNS, falsificar o IP do alvo para enviar um grande número de solicitações e fazer com que os servidores DNS respondam a elas.
  • Inundação ICMP – Este protocolo pode ser usado para inundar a largura de banda disponível do nosso destino.
  • Inundação UDP : neste caso, o protocolo UDP é usado para tentar saturar a largura de banda de um destino, para sobrecarregar as portas do servidor. Este ataque é o mais poderoso porque permite saturar serviços que possuem uma grande largura de banda.

Como você pode ver, os ataques volumétricos visam saturar completamente a largura de banda disponível do servidor.

Ataques de protocolo

O objetivo desse ataque é esgotar todos os recursos do servidor atacado, tentando travar o próprio servidor criando centenas de requisições forjadas por segundo, travar o servidor web e até travar o próprio sistema operacional devido a esse alto tráfego incomum. O ataque mais popular e usado em protocolos é o fluxo TCP SYN para um computador específico. Devemos levar em consideração que o protocolo TCP é um protocolo conectivo, confiável e orientado à conexão, portanto, antes de começar a enviar dados reais, é necessário realizar um handshake com o servidor, para que posteriormente todos os dados fluam corretamente sem perda de pacotes . A seguir, explicamos em que consiste o ataque TCP SYN:

  • Um invasor envia ao servidor um segmento TCP com o sinalizador SYN, neste segmento nosso endereço IP de origem real não será, mas sim falsificado.
  • O servidor tentará estabelecer o handshake de três vias, enviando um SYN-ACK para o cliente conectado, porém, ele nunca chegará porque falsificou seu IP de origem.
  • O servidor terá que esperar um certo tempo antes de fechar a conexão que foi aberta.

esquema del handshake de 3 vias

Se um invasor enviar 10 segmentos TCP SYN, o servidor poderá lidar com isso corretamente e sem problemas, mas quando o invasor enviar milhões de segmentos TCP SYN, ele poderá ser facilmente bloqueado. No entanto, nas versões mais recentes dos sistemas operacionais já existem medidas de mitigação para esse ataque, além disso, também poderíamos incorporar um SYNPROXY para gerenciar esse tipo de ataque com mais eficiência.

Ataques de camada de aplicativo

Esses tipos de ataques visam causar o travamento completo do servidor web, seja um Apache2 ou Nginx, que são os dois mais populares. Isso é feito enviando solicitações HTTP que parecem legítimas, mas na verdade não são. Esses ataques também são conhecidos como ataques DDoS de camada 7 (aplicativo), além disso, existem principalmente dois tipos de ataques:

  • Inundação HTTP : consiste em enviar milhares de solicitações HTTP de diferentes IPs de origem, com o objetivo de saturar completamente o servidor web e fazê-lo parar de funcionar.
  • Baixo e devagar : este ataque consiste em enviar um pequeno fluxo de tráfego HTTP, sem usar muita largura de banda, o objetivo é saturar gradualmente o servidor web com o objetivo de travar e negar acesso. serviço a usuários reais.

Agora que você conhece os diferentes ataques DDoS existentes, fazemos a pergunta: vale a pena ter sempre as medidas de segurança anti-DDOS ativadas? Seria melhor ativá-los apenas em caso de um ataque real? Hoje todos os serviços de hospedagem e também CDNs nos permitem ativar medidas de mitigação de DDoS. Um ataque DDoS pode ser mitigado em menor ou maior grau, mas nunca pode ser evitado porque não está em nosso poder impedir esse ataque, essa é a primeira coisa que devemos levar em consideração. Depois de ter isso claro, devemos pensar se devemos ativar o sistema anti-DDoS sob demanda ou deixá-lo sempre ativo para que nos proteja contra possíveis novos ataques, no entanto, cada política tem seus pontos fortes e também suas fraquezas.

Anti-DDoS sob demanda

Um sistema anti-DDoS sob demanda consiste em um serviço que podemos ativar ou desativar quando quisermos. Caso nossa hospedagem ou CDN detecte um ataque DDoS em nosso site, aplicativo ou serviço online, ela nos notificará imediatamente para decidir quais medidas tomar. Geralmente as medidas a serem tomadas são:

  • Analise o tipo de ataque DDoS que está sendo realizado contra nós.
  • Ative as medidas de mitigação especificamente destinadas a parar este ataque que eles estão realizando contra nós.

Quando ativamos medidas de mitigação de DDoS, o tráfego legítimo também pode ser afetado, ou seja, alguns clientes podem não conseguir acessar nosso site, pois em muitos casos é difícil diferenciar tráfego malicioso de tráfego legítimo. Dependendo das políticas usadas no firewall, esses problemas podem não aparecer ou apenas em menor grau, ou é possível que centenas de clientes sejam afetados por essas medidas de mitigação se o ataque DDoS for mais agressivo, por isso devemos ter muito em mente.

Os pontos fortes de usar este sistema sob demanda é que só o usaremos durante o período de tempo em que o ataque durar e, uma vez terminado, podemos desativá-lo sem nenhum problema e nosso site continuará funcionando corretamente. O aspecto negativo de usar esse método é que é possível que o site seja descartado até que ativemos as medidas de mitigação na hospedagem ou CDN, além disso, alguém da equipe técnica deve estar sempre lá para garantir que tudo esteja indo bem e monitorar continuamente o tráfego do nosso site.

Ataques DDoS de maior duração

Mitigação de Ataques Sempre Ativada

Um sistema de mitigação de ataques de negação de serviço distribuído sempre ativo significa que a mitigação contra esses ataques está sempre em execução. Determinadas hospedagens e também CDN nos permitem habilitar permanentemente essa proteção, para mitigar qualquer possível ataque que nos realizem. Embora possa parecer que ter sempre este sistema ativado seja perfeito porque estaremos imunes a diferentes ataques, a verdade é que não é tão bom quanto parece.

Quando ativamos medidas de mitigação de DDoS de forma contínua, precisamos considerar todos os tipos de ataques e criar regras para mitigar todos eles simultaneamente. Outro aspecto muito importante é que o tráfego legítimo de nossos clientes pode ser afetado, impedindo que centenas de usuários acessem nosso site, de modo que nós mesmos podemos estar negando o serviço. Isso é algo que devemos levar em consideração ao ativar a mitigação de forma permanente ou quase permanente, porque muito tráfego que não é malicioso pode ser bloqueado.

A parte positiva de tê-lo sempre ativado é que não devemos nos preocupar muito com esse tipo de ataque, pois a maioria deles será mitigada adequadamente, no entanto, devemos levar em consideração quais regras aplicamos para realizar essa mitigação, pois você pode não ter “coberto” todos os ataques possíveis.

Conclusões

A mitigação de ataques sob demanda ou sempre ativa tem seus pontos fortes e fracos. Geralmente, a mitigação sob demanda é sempre usada, para evitar que o tráfego legítimo de nossos clientes também seja bloqueado. Isso pode ser feito de forma fácil e rápida através do painel de administração de nossa hospedagem, ou se você usa serviços CDN como Cloudflare, podemos ativá-lo diretamente no menu principal de gerenciamento.

No caso da Cloudflare, podemos ativar diferentes medidas de mitigação dependendo do tipo de ataque, por exemplo, só podemos ativar medidas de mitigação da camada 7, isso nos protegerá contra ataques direcionados aos nossos sites com HTTP e HTTPS. Também poderemos ativar as medidas de mitigação da camada de transporte e rede, por exemplo, nos permitirá proteger os serviços FTP, SSH e até VoIP ou jogos online, com o objetivo de adicionar uma camada adicional de segurança a esses Serviços.

Por fim, também poderíamos estabelecer regras para que as medidas de mitigação sejam ativadas automaticamente em caso de ataque e, quando esse ataque parar, desabilitar as medidas de segurança para não interferir no tráfego legítimo.