Na gestão da infraestrutura de TI, um ataque DDoS pode interromper o tráfego normal de um servidor, serviço ou rede alvo. Isso sobrecarrega o sistema com uma quantidade excessiva de tráfego de internet, que gera indisponibilidade no acesso, impedindo que os usuários explorem os serviços e o site. 

Nos últimos anos, esse tipo de ataque tem se tornado cada vez mais comum. Isso porque, os hackers procuram explorar vulnerabilidades em sites e redes para causar interrupções generalizadas

Somente em 2022, o mundo teve quase 13 milhões de ataques DDoS. Já em 2023, segundo a Cloudflare, os ataques DDoS atingiram a maior marca de todos os tempos, mais do que dobrando ano após ano no quarto trimestre. 

Nesse cenário, é necessário adotar medidas para se proteger contra ataques DDoS. Por isso, neste artigo, apresentamos o conceito, como funciona, os tipos e o passo a passo para aumentar a camada de proteção da infraestrutura de rede. Veja mais!

O que é ataque de DDoS?

Um ataque DDoS, ou ataque de Negação de Serviço Distribuída, é uma tentativa maliciosa de interromper o funcionamento regular de uma rede, serviço ou site, sobrecarregando-o com uma enxurrada de tráfego ilegítimo.

Em um ataque deste tipo, vários dispositivos comprometidos, formando uma botnet, geram altas solicitações ou tráfego para sobrecarregar os recursos do sistema de destino, como largura de banda, poder de processamento ou memória.

O objetivo de um ataque DDoS é esgotar os recursos do alvo até o ponto em que ele se torne indisponível ou experimente uma degradação significativa no desempenho.

Ao saturar o alvo com uma quantidade esmagadora de tráfego, os usuários legítimos não podem acessar o serviço. A indisponibilidade causa inconveniência para os usuários, perda financeira e danos à reputação da marca alvo.

Como funciona o ataque de DDoS?

Em 2021, a Amazon sofreu um revés financeiro de cerca de US$ 34 milhões devido a uma interrupção do sistema de uma hora, que levou a uma perda considerável nas vendas.

A Meta sofreu uma perda de quase US$ 100 milhões devido à interrupção do Facebook em 2021.

Os números comprovam: as consequências do tempo de inatividade podem ser graves, e empresas públicas e privadas de todos os tamanhos podem ser afetadas. 

Um ataque DDoS pode paralisar completamente uma empresa por horas, levando a uma perda substancial de receita. Isso ocorre em função da interrupção nas operações, inundando-o com tráfego indesejado da internet.

Na prática, um direcionamento de volume de tráfego extremamente alto torna-o inacessível para os usuários legítimos. O ataque DDoS visa infectar uma rede, infectando os dispositivos IoT com malwares, criando botnets que podem realizar um ataque remotamente.

Os bots em uma botnet sobrecarregam a rede, enviando solicitações disruptivas para o endereço IP da rede, o que tende a resultar em uma negação de serviço. Depois do ataque DDoS, o site pode responder de duas maneiras:

  • Lentidão para responder às solicitações legítimas;
  • Desativação total, impossibilitando o acesso de usuários legítimos.

Com um exemplo prático, fica fácil compreender o mecanismo do ataque DDoS. Muitas vezes, os sites de companhias saem do ar quando um determinado evento cria mais tráfego do que o endereço é capaz de lidar.

Os hackers replicam isso para um ataque DDoS, usando uma rede de computadores para enviar solicitações e maximizar a capacidade do host de destino. Isso causa um erro de negação de serviço que bloqueia o tráfego normal para o host.

Para as empresas que têm um endereço IP estático, pensar em maneiras de prevenir ataques DDoS é especialmente importante. Isso ocorre porque, os endereços IP que não mudam são mais fáceis de encontrar e rastrear, ficando mais vulneráveis a ataques DDoS.

Para evitá-los, é essencial garantir que sua segurança digital seja a mais robusta possível. Quer saber mais sobre cibersegurança e proteção de dados? Veja nosso conteúdo:

O desafio da proteção e segurança de dados

Quais são os sinais de um ataque DDoS?

Para identificar um ataque DDoS, é importante observar alguns sinais:

  • O site está respondendo lentamente.
  • O site não responde.
  • O usuário tem problemas para acessar o site.
  • A empresa alvo tem problemas de conexão com a internet.
  • Qualquer tipo de interrupção, dependendo da sua configuração.
Para evitar agravantes de uma possível ataque, é fundamental observar os sinais que possam demonstrar alguma anormalidade.

Como os ataques DDoS são categorizados?

Geralmente, os ataques DDoS podem ser classificados em três categorias, considerando tipo de tráfego usado, o método, a duração e o alvo do ataque:

  1. Protocolo (abuso de protocolos de TI)
  2. Aplicativo (abuso de recursos do aplicativo)
  3. Volumétrico (volume de ataque bruto)

Na prática, as três classificações contêm dezenas de tipos de ataque DDoS, como ataques de inundação, UDP, ICMP, IP, TCP e HTTP e outros tantos. A seguir, apresentamos as três categorias e tipos de ataque DDoS:

1. Ataque de protocolo

Os ataques de protocolo, ou ataques de exaustão de estado, causam negação de serviço por conta do consumo excessivo de recursos de servidor ou rede.

Por exemplo, o invasor envia muitas solicitações iniciais de conexão. Então, o computador de destino aguarda a etapa final do handshake TCP, mas a conexão nunca é finalizada e os recursos do alvo estão esgotados.

São exemplos de ataques DDoS de protocolo: inundações SYN, POD (Ping da Morte), ataques de Smurf e ataques de pacotes fragmentados.

2. Ataque na camada de aplicação

O objetivo de um ataque DDoS de camada de aplicativo, ou inundação HTTP, é esgotar os recursos da rede e criar uma situação de negação de serviço

Os hackers têm como alvo a camada do servidor onde as páginas da web são geradas e entregues em resposta às solicitações HTTP. Em seguida, eles inundam o servidor com inúmeras solicitações, sobrecarregando-o, o que resulta em negação de serviço.

As vulnerabilidades, configurações incorretas de segurança e falhas de lógica de negócios nos sites de destino são exploradas para orquestrar os ataques DDoS de Camada 7. 

Estes são mais baratos para o invasor executar, pois há um requisito menor de recurso/dispositivo. São exemplos de ataques de camada de aplicação: Slowloris e HTTP Floods.

3. Ataque volumétricos

Neste tipo de ataque DDoS, os sites direcionados são inundados com solicitações maliciosas volumosas usando amplificação e outras técnicas.

Basicamente, em um ataque volumétrico, o hacker cria um congestionamento de rede, consumindo a largura de banda disponível entre os dispositivos e a internet

Em seguida, grandes quantidades de dados são enviadas para a vítima usando uma botnet. O objetivo é criar tráfego maciço e esgotar a largura de banda e outros recursos. São exemplos de ataques volumétricos: Inundação UDP, Amplificação NTP, Inundação ICMP e Amplificação DNS.

Métodos de proteção DDoS para prevenir ataques

Para se proteger dos ataques DDoS, as empresas precisam investir em uma estratégia sólida de DDoS, com serviços de atenuação de DDoS e controles avançados de cibersegurança.

É fundamental investir em infraestrutura de rede segura, implementar camadas de defesa, como firewalls e sistemas de prevenção de intrusão, monitorar suas redes para atividades incomuns e ter um plano de resposta a incidentes em vigor em caso de ataque.

Além disso, deve-se implementar medidas para evitar que sua rede fique sobrecarregada ou inutilizável por períodos de tempo, especialmente nos momentos em que você mais precisa dela. Listamos alguns métodos de proteção DDoS, confira:

Práticas de monitoramento de rede

O primeiro passo para mitigar as ameaças DDoS é saber quando sua empresa está prestes a ser atingida por um ataque. Para tanto, será preciso implementar uma tecnologia que permita monitorar sua rede visualmente e em tempo real. Saiba a quantidade de largura de banda que seu site usa, em média, para que você possa rastrear qualquer tipo de anomalia.

Os ataques DDoS oferecem pistas visuais. Portanto, se você conhece o comportamento normal da sua rede, poderá capturar esses ataques em tempo real.

Proteção baseada em CDN

Uma maneira moderna e eficaz de lidar com ataques DDoS é usar uma rede de entrega de conteúdo (CDN). Como os ataques DDoS funcionam sobrecarregando um servidor de hospedagem, os CDNs ajudam muito.

Isso porque compartilham a carga igualmente em vários servidores, geograficamente distribuídos e mais próximos dos usuários.

Dessa forma, mesmo se um servidor cair, outros ainda se mantêm operacionais. Os CDNs também podem fornecer gerenciamento de certificados e geração e renovação automática de certificados.

Proteção DDoS local

Quando um ataque DDoS acontecer, será tarde demais para começar a pensar na resposta. Portanto, você precisa ter um plano de resposta preparado com antecedência para mitigar os impactos. Idealmente, um plano de resposta deve incluir:

  • Lista de verificação de ferramentas: inclua todas as ferramentas que serão implementadas, direcionando-as para detecção avançada de ameaças, avaliação, filtragem e software e hardware;
  • Equipe de resposta: forme uma equipe com funções e responsabilidades claramente definidas, que devem ser assumidas pelos profissionais assim que o ataque for detectado;
  • Protocolos de escalonamento: defina regras sobre quem notificar, escalar e envolver no caso de um ataque;
  • Plano de comunicação: construa uma estratégia de comunicação, para acionar as partes interessadas internas e externas, incluindo fornecedores e clientes. Em um ataque DDoS, o ideal é sempre comunicar as notícias em tempo real.

Garanta capacidade suficiente ao servidor

Como os ataques volumétricos DDoS funcionam sobrecarregando a largura de banda da rede, uma maneira de combatê-los é aumentando o provisionamento da largura de banda.

Assim, mesmo diante de um ataque DDoS, o servidor conseguirá lidar com picos pesados de tráfego, adicionando largura de banda. A estratégia, nesse caso, é estar pronto para aumentos repentinos e inesperados no tráfego causados por ataques DDoS. 

Embora essa medida não seja capaz de impedir completamente um ataque DDoS, ela dá à empresa alguns minutos extras para preparar outras defesas, antes que seus recursos sejam usados.

Firewalls de aplicações da Web

Os firewalls de aplicativos da Web funcionam como um controle de segurança, usado pelas empresas para proteger os sistemas da web contra explorações de dia zero, infecções por malware, personificação e outras ameaças.

Por meio de inspeções personalizadas, um WAF pode detectar e prevenir imediatamente várias das falhas de segurança de aplicativos da web mais perigosas. Ele analisa solicitações HTTP e aplica um conjunto de regras que definem quais partes dessa conversa são benignas e quais partes são maliciosas.

Mais robustos que os firewalls tradicionais, os WAFs são especialmente úteis para empresas que fornecem produtos ou serviços pela internet, como compras de comércio eletrônico, serviços bancários on-line e outras interações entre clientes ou parceiros de negócios.

Monitoramento de ameaças

Para evitar ataques DDoS, é importante implementar práticas de monitoramento e registro de ameaças. O ideal é construir um sistema robusto de monitoramento e registro para rastrear violações de limite de taxa, integridade do sistema e possíveis incidentes de segurança

Alertas em tempo real, registro detalhado, políticas de registro seguro e revisões regulares de registro ajudam a detectar anomalias e permitir uma resposta rápida a ameaças.

Limitação de taxa

A limitação de taxa contribui para reduzir a área de superfície do ataque, limitando o tráfego malicioso e restringindo as chances de ataques DDoS. Ela também ajuda a definir limites de taxa em conjunto com seu orçamento, reduzindo os custos devido ao aumento de tráfego não planejado e inesperado. 

Usando o recurso de limitação de taxa, é possível, por exemplo, optar por hospedar tráfego apenas de um determinado país. Ao configurar uma regra, você especifica o limite, definindo o número de solicitações da web permitidas de cada endereço IP, dentro de um período de tempo de um minuto ou cinco minutos.

Assim, a limitação de velocidade permite que você detecte e bloqueie níveis anormalmente altos de tráfego de qualquer endereço IP. É um ótimo recurso para mitigar alguns tipos de ataques DDoS. 

Soluções de proteção DDoS baseadas na nuvem

Para compor a estratégia de cibersegurança, o ideal é explorar também as soluções de proteção DDoS baseadas em nuvem. A nuvem fornece mais largura de banda e recursos em comparação com as redes privadas. 

Os data centers em nuvem podem absorver o tráfego malicioso e dispersá-los para outras áreas, impedindo-os de atingir os alvos pretendidos.

Os métodos de proteção DDoS podem garantir a segurança de dados sensíveis, evitando vazamentos e acessos indesejáveis, bem como outros possíveis resultados de invasões.

Cibersegurança com Ingram Micro

Para empresas que buscam fortalecer a estratégia de cibersegurança, a proteção DDoS de várias camadas é uma obrigação. Isso porque, os hackers costumam usar vários vetores de ataque.

Além disso, novas técnicas de ataque são criadas e vulnerabilidades são sempre descobertas. Dessa maneira, o DDoS continua sendo um dos desafios complexos que os operadores de sites e os especialistas em segurança cibernética enfrentam.

Para lidar com as ameaças DDoS, é fundamental priorizar investimentos em tecnologia e arquitetura robustas, monitoramento ativo e operadores qualificados. Eles são a base da defesa eficaz contra DDoS e, juntos, podem garantir que os serviços on-line permaneçam seguros, protegidos e sempre acessíveis.

Se você busca soluções de cibersegurança para sua empresa, saiba que a Ingram Micro tem as melhores do mercado. Para companhias de todos os portes e setores, entregamos soluções de proteção de dados, gerenciamento de identidade, segurança lógica, segurança na nuvem, internet public, governança, DevOps e compliance. Conheça nossas soluções!

Este artigo foi útil?

Você já votou neste post

Tags

Alexandre Nakano

Alexandre Nakano

Diretor de Segurança e Networking da Ingram Micro Brasil. A frente da diretoria de novos negócios para a área de Enterprise, Colaboração e Cybersec na Ingram Micro Brasil, possui mais de 20 anos no mercado de tecnologia e esteve sempre em cargos de gestão e direção de vendas em grandes empresas do setor de TI. Tem, em seu currículo, passagem por empresas como Cisco Systems, Cyclades/Avocent, Westcon/Comstor e Scansource/Network1. Além da experiência profissional, traz na bagagem acadêmica dois MBAs executivos, o primeiro em gestão corporativa pela FGV, o segundo em finanças, pelo Insper, além da graduação em Engenharia Eletrônica.