34985268767
Blog AVG Signal Segurança Ameaças O guia definitivo para ataques de negação de serviço (DoS)
What_is_a_DDoS_Attack-Hero

Escrito por Joseph Regan
Publicado em July 2, 2018

Há uma grande chance de que o site sobre bebês e bolos esteja sofrendo um ataque temido de negação de serviço.

Este artigo contém:

    O que é um ataque DoS?

    Um ataque DoS, ou de negação de serviço, é um esforço concentrado de cibercriminosos de limitar ou eliminar completamente o tráfego web para um site, servidor ou serviço online específico.

    Há muitas maneiras de executar um ataque de DoS, o mais famoso e prevalente é o ataque DDoS (ou “negação de serviço distribuída”), que envolve forçar ou enganar muitos computadores a afogar um servidor com dados até o ponto que ele não possa mais ser utilizado. Vamos falar sobre isso em mais detalhes abaixo.

    Um ataque de DDoS inunda um servidor com tantas solicitações que ele para de responder, tirando totalmente o serviço do ar.

    O motivo das pessoas executarem ataques DoS é um pouco complicado. O mais comum, mas longe de ser o único, é o ativismo virtual, uma maneira de protestar contra um site ou organização que eles discordam de maneira profunda ou querem desativar ou intimidar. Mas também podem ser uma piada, ameaça, tentativa de extorsão ou uma distração para uma invasão mais grave e prejudicial que acontece em segundo plano. Às vezes, eles são meramente usados para testar a capacidade de um servidor.

    Ataques de DoS foram executados contra todos, desde instituições financeiras até lojas de eletrônicos, videogames, grupos religiosos e até mesmo governos. Eles são parte importante do mundo do cibercrime online e não devem desaparecer tão cedo. Mas há uma grande chance de que ele não seja um problema para você.

    Mesmo assim, você veio aqui para aprender, então vamos lá.

    Como um ataque de negação de serviço distribuída funciona?

    Um ataque de DDoS é uma premissa simples: congestionar um servidor com tráfego inútil para que os sites que ele hospede fiquem lentos, ou deixem de funcionar. Mas como nada na internet é simples, explicar como isso funciona exige um pouco mais de informações técnicas.

    Vamos tentar manter isso o mais simples possível, ok?

    Alguns fundamentos sobre a internet

    Em 2006, o senador dos EUA, Ted Stevens, tornou-se um meme por descrever a internet como uma “série de tubos” e, embora isso esteja errado de muitas maneiras, talvez seja a melhor analogia para a situação, por isso, vamos trabalhar com ela. Basicamente: sempre que você tenta fazer algo online, seja enviar uma mensagem, acessar um site ou jogar um jogo, seu computador precisa se comunicar com outro computador e/ou servidor. Para isso, eles precisam de um transmissor, como o ar para o Wi-Fi, ou cabos de cobre/fibra ótica, se estiver conectado com cabos de LAN. A velocidade de transmissão de dados nesse transmissor é chamada de largura de banda: para efeitos dessa analogia, largura de banda é o tamanho do tubo, sendo que um tubo maior permite que mais informações sejam transmitidas com maior velocidade.

    Você precisa sempre compartilhar sua largura de banda/tubo com outros computadores e todos eles também tentam enviar mensagens, acessar site ou jogar. Isso significa que os tubos podem ficar cheios bem rápido e, se você tentar usar um tubo já cheio, você poderá bagunçar todos os dados que já estão ali.

    Uma analogia ruim, mas útil: pense na internet como uma série de tubos e um ataque de DDoS está entupindo todos eles

    Há algumas maneiras de impedir que isso aconteça: a primeira é um domínio de colisão, que reduz as redes em vários tubos ainda conectados. Pense na água: se você conectar vários tubos e encher um com água, essa água será distribuída igualmente por todos os tubos. Os dados agem da mesma maneira, se espalhando por toda rede de tubos procurando por um computador ou servidor específico, e isso consome tempo e espaço. Então, para impedir que isso aconteça, usamos “domínios” separados mas interligados, que agem como um ponto de verificação: se seus dados tentam passar e o ponto de verificação percebe que ele está tentando chegar a um computador ou servidor que não está em seu domínio, ele rejeita a tentativa de entrada dos seus dados para que os tubos que ele protege não sejam poluídos com seus dados. A internet é como isso em um nível internacional.

    Segundo e mais importante para nossos fins, é algo chamado de backoff exponencial. Se seu computador tentar usar um tubo e notar que ele está cheio, ele aguardará um segundo antes de tentar usá-lo novamente, esperando que ele esteja limpo e possa encher o cano com seus dados. Mas se ainda estiver cheio, seu computador aguardará por 2 segundos (e um intervalo aleatório de milissegundos) antes de tentar de novo. Depois 4. Depois 8. Depois 16. E o número vai aumentando até os dados passarem ou pararem de tentar passar.

    O que isso tem a ver com ataques de DDoS?

    Um ataque de DDoS (negação de serviço distribuída) é uma tentativa de encher o tubo/largura de banda do servidor com tantos dados que o backoff exponencial vai deixar os sites muito lentos, ou torná-los completamente impossíveis de serem acessados. Para isso, você precisa de muitos dados que, no caso de ataques de DDoS, são computadores tentando acessar um servidor. Isso significa que para organizar um ataque como esse, você precisa de muitos amigos bem coordenados em todo o mundo ou, mais realisticamente, de uma botnet.

    Como ataques de DDoS funcionam usando botnets

    Se tiver preguiça de clicar no link acima, elas são uma coleção gigante de computadores e dispositivos com acesso à internet conectados por um malware, que um cibercriminoso pode comandar para fazer todo tipo de bagunça, desde enviar ondas de spam até invadir senhas. Eles também podem, claro, orquestrar ataque de DDoS.

    Uma camada extra de complexidade

    Não pense que a própria botnet vai atacar o alvo: apenas cibercriminosos preguiçosos ou ineficientes fariam isso. Os melhores ataques de DDoS têm um nível extra de complexidade (e de proteção para eles) ao colocar computadores inocentes para fazer o trabalho sujo para eles Esses computadores inocentes, os “refletores”, recebem uma solicitação de conexão enganosa de um dos computadores “zumbis” na botnet. Essa solicitação de contato engana o refletor fazendo com que ele pense que o servidor alvo está tentando entrar em contato com ele. Como um bom computador, ele tentará entrar em contato para ver do que o servidor precisa. Você tem “refletores” inocentes suficientes enviando pings para o servidor ao mesmo tempo e assim consegue um ataque de DDoS.

    Mesmo computadores inocentes e não infectados podem ser forçados a participar de um ataque de DDoS ao se tornar “refletores”.

    Esse método é preferível por dois motivos. Primeiro, é muito mais fácil enviar essas solicitações de conexão do que tentar manualmente causar um DDoS no site você mesmo, e ele permite que botnets menores enganem redes muito maiores para fazer o trabalho pesado para elas. Segundo, isso fornece uma camada de proteção extra entre o cibercriminoso e o servidor que está sendo atacado, tornando mais difícil ele ser rastreado.

    Os cibercriminosos também podem visar seções específicas de um site ou serviço com essa técnica, chamada de ataque de DDoS da camada de aplicativo, para desativar recursos específicos (por exemplo, a função de pesquisa). Normalmente, isso é feito para distrair os profissionais de TI enquanto uma invasão mais importante e prejudicial está acontecendo.

    O problema da IoT

    No passado, os ataques de DDoS eram um pouco complicados de serem realizados, pois exigia muitos dispositivos com acesso à internet e havia apenas um a usar: os computadores. Mas, recentemente, cada vez mais dispositivos conseguem se conectar online, o que permite que as botnets fiquem cada vez maiores. Com mais objetos, há mais pings e oportunidades para encher um “tubo” com dados, por isso, em alguns aspectos, estamos vivendo na era de ouro das oportunidades para DDoS. Que divertido!

    Você pode conferir nosso guia definitivo para botnets para saber mais.

    Outros tipos de ataques de DoS.

    Claro, há mais maneiras além do velho DDoS para bloquear um site! Há muitas ferramentas e técnicas populares para executar um ataque de negação de serviço, mesmo que o DDoS seja de longe o mais comum.

    • Ataques Teardrop enviam endereços IP mutilados e pacotes grandes de dados ao computador alvo para deixá-lo lento ou fazê-lo entrar em pane, enquanto tenta entender o que está acontecendo.

    • Ataques Banana criam um loop contínuo ao forçar que todas as mensagens enviadas pelo alvo sejam enviadas de volta a ele, o que causa cada vez mais mensagens, virando uma loucura.

    • Ataques Smurf aproveitam dispositivos de rede mal configurados para enviar arquivos enormes a cada dispositivo conectado ao mesmo tempo, acabando com a rede.

    • Ataques de PDoS (ou negação de serviço permanente) envolvem a invasão de dispositivos de IoT e a substituição completa do firmware com algo corrompido ou com defeito.

    • Nukes envolvem enviar mensagens de erro corrompidas ou dados de informações operacionais ao alvo, deixando-o lento até parar completamente.

    • Ataques Peer-to-peer fazem com que os cibercriminosos entrem na rede de um alvo e instrua todos os dispositivos conectados a tentarem se conectar em um site ou servidor ao mesmo tempo.

    • Inundação de pings exigem apenas o envio de um número enorme de pings de um computador a outro, um ataque simples e ferramenta comum ao trapacear em jogos online.

    • Ataques de degradação de serviço fazem com que botnets ataquem um site em “ondas”, de forma que ele não fique totalmente inativo, tornando-os apenas lentos e imprevisíveis com frequência.

    • Ataques HTTP POST são um método obsoleto de ataque que envolvia enviar dados a um alvo, mas transmiti-los tão lentamente que outros dados precisavam “esperar” que ele terminasse antes de prosseguir.

    • Ataques de DoS nível 2 enganam o mecanismo de defesa de um alvo ao bloquear a internet na rede, deixando tudo offline.

    • O Ping da Morte é um ping maligno e mal-formado com mais de 65.535 bytes, que faz com que os sistemas sofram uma pane quando tentam lidar com ele.

    • Ataques de amplificação manipulam DNS acessíveis publicamente para enviar tráfego de DNS a sites despreparados, como uma versão maior de um ataque de refletor.

    • Slowloris (ou RUDY) tenta entupir um site ou serviço com o máximo possível de conexões, pelo máximo de tempo que conseguem, para limitar a disponibilidade a usuários legítimos.

    • Ataques Shrew têm como alvo o Protocolo de Comissão de Transmissão, com explosões rápidas de atividade para explorar mecanismos de tempo limite e deixar o tráfego legítimo mais lento.

    Essa lista não para de crescer, à medida que as pessoas descobrem novas vulnerabilidades e criam novas ferramentas para entupir as passagens e interromper o tráfego.

    Quem são os alvos de ataques de DoS?

    Se você estiver sentado em seu bunker subterrâneo, com medo de que alguém tentará um ataque de DDoS a você para impedi-lo de descobrir a verdade, você pode ir em frente e colocar uma folha de alumínio na cabeça. Os ataques de DoS nunca foram executados contra pessoas: eles são executados contra servidores para tirar certos sites do ar (e os outros sites que possam estar, por acaso, hospedados no mesmo servidor). Além disso, como a maioria dos outros ataques online, não há benefício financeiro ou prático em atacar sites aleatórios com um DoS: eles são sempre feitos com um objetivo, a menos que você hospede dados controversos (ou for uma figura controversa com um blog, site ou algo do tipo), você não precisa se preocupar em ser bombardeado por um.

    Os ataques de DoS são lícitos?

    Em teoria, não. Na prática... Bem...

    Executar um ataque de DoS em uma organização ou site é considerado crime, embora não seja terrível. Na maioria dos casos, você vai ficar um ano na cadeia e terá que pagar uma multa pesada, embora se você atacar algo sério (como uma delegacia de polícia), outras acusações poderão ser feitas além dessa. Algumas pessoas alegam que ele deveria ser uma forma legítima de protesto, mas, de maneira geral, fazer um ataque de DoS pode causar problemas para você nos EUA e Reino Unido.

    Mas, na prática, a legalidade dos ataques de DoS é incerta. Os governos podem (e já usaram) ataques de DoS no passado (veja abaixo) como forma de guerra virtual e as organizações podem atacar a si mesmas para testar a capacidade do servidor e/ou sua equipe de segurança cibernética. Então, embora você não esteja por trás de ataques de DoS, saiba que ser pego fazendo isso pode causar problemas.

    Casos de DoS famosos

    Houve muitos ataques de DoS em um período histórico relativamente breve. Vamos ver alguns exemplos:

    Projeto Rivolta: terror da virada do século

    Sites atacados pelo DDoS Projeto Rivolta

    Quando o relógio bateu meia-noite no ano 2000, as pessoas seguraram o fôlego com medo do bug Y2K. No final das contas, nada aconteceu apesar dessa ansiedade mal fundamentada, mas houve outro cataclismo da internet à espreita: o Projeto Rivolta. Em 7 de fevereiro do mesmo ano, um mestre cibercriminoso canadense, chamado de Mafiaboy, iniciou um enorme ataque de DoS que tirou do ar os maiores sites da internet na época: Yahoo!, Fifa.com, Amazon.com, Dell, Inc., E*TRADE, eBay, CNN e muito mais. Ele fez isso ao entrar em cada rede e instalar um software chamado “sinkhole” (ou em tradução livre, ralo de pia), que inundou os alvos com tráfego agressivo, um ataque de PDoS.

    Foi uma coisa enorme: não só foi um dos primeiros ataques de DoS já executado, durando muito mais que os ataques de DoS padrão, restringindo acesso ao que era toda a internet por uma semana até que os “escoadouros” fossem removidos.

    O Projeto Rivolta foi o primeiro ataque de DoS

    Uma caçada internacional foi organizada para capturar o responsável e, graças à sua boca grande (ele se gabou muito disso online), Mafiaboy foi preso: quando se descobriu que era um colegial canadense chamado Michael Calce. Ele foi condenado a 8 meses em um centro de detenção, com acesso limitado à internet.

    O DoS durou apenas uma semana, mas e saber que a internet poderia ser “quebrada” por um adolescente de 15 anos? Isso teve um impacto muito maior, prejudicando a economia mundial e levando as pessoas a reconsiderarem seriamente a segurança online.

    Os ataques de 2007 na Estônia - A primeira guerra virtual

    Os ataques de DDoS estonianos de 2007

    Atualmente, a guerra virtual é uma coisa comum e esperada, com os governos frequentemente invadindo, espionando e infectando uns aos outros para ter vantagem em relação a amigos e inimigos. Mas, em 2007, esse mundo sombrio foi exposto ao público quando dezenas de sites administrados por organizações e empresas estonianas foram desativadas por uma campanha de DoS em todo o país, que iam desde inundações de pings a ataques de DDoS.

    Bancos, jornais e até mesmo o parlamento foram vítimas e ficaram fora do ar por várias semanas, e logo começaram distúrbios em todo o país, que já estava instável. As pessoas não podiam acessar seu dinheiro, os funcionários do governo não conseguiam se comunicar e acompanhar as notícias se tornou impossível. Quando a situação pôde ser contida e corrigida, o dano já havia sido feito: 150 pessoas ficaram feridas e uma morreu nos distúrbios.

    O ataque na Estônia confirmou o lugar do DDoS no arsenal de armas de guerra virtual.

    Como na maioria dos ataques virtuais, rastrear os responsáveis provou ser difícil. Investigadores internacionais colocaram a culpa na Rússia, devido ao fato dos ataques terem vindo de endereços IP na Rússia, as instruções online estavam em russo e Moscou não ofereceu nenhuma ajuda quando solicitado pela Estônia mas, até o momento, o único homem indiciado foi um nacionalista estoniano que pode ser ligado diretamente aos ataques. Ele foi multado.

    Como resultado direto desse ataque, o Centro de Excelência em Defesa Cibernética Cooperativa da OTAN foi fundado em Tallinn, Estônia.

    Projeto Chanology – rebeldes com causa

    Os ataques de DDoS do Anonymous Project Chanology contra a Igreja da Cientologia

    Até 2008, “Anonymous” era apenas um grupo de piadistas online que faziam alguma bagunça ocasional, mas sem grandes consequências. Depois de 2008, eles se tornaram o rosto da deep web e eram tratados como se fossem algum tipo de divindade online amorfa. E o Projeto Chanology é um dos grandes responsáveis.

    Uma campanha online contra o grupo de cientologia, o Projeto Chanology marca a primeira vez que ataques de DoS foram usados como forma de protesto, com o grupo contestando quase tudo que a organização pregava. Embora executar os ataques de DoS contra os sites da cientologia tenha sido o método de ataque principal, eles também vazaram desempenhos, pregaram peças à longa distância para irritar e incomodar a igreja e fizeram protestos ao vivo nas icônicas máscaras de Guy Fawkes. E isso continuou por mais de ano.

    Embora tenham sido trocados golpes de ambos os lados, tanto a cientologia quanto o Anonymous permanecem, embora grandemente alterados pela experiência. Mas o maior legado deixado pelo Projeto Chanology é a inspiração para incontáveis outros protestos online, tanto dentro quanto fora do grupo. Por exemplo, na Operação Payback, Anonymous executou ataques de DDoS contra a Motion Picture Association of America, a International Federation of the Phonographic Industry e outros titulares de copyright em protesto a ataques contra sites de pirataria. Outro exemplo aleatório: em 2016, vários cibercriminosos atacaram o governo tailandês com DDoS em protesto contra regulamentos mais rigorosos de internet.

    Uma certeza: essa briga com a cientologia garantiu o lugar do ataque de DDoS na história dos protestos.

    O ataque de 2014 à PlayStation Network – A definição de um exemplo

    O ataque de DDoS Lizard Squad contra a Sony Playstation Network

    Em agosto de 2014, a PlayStation Network (que é como os PlayStations se conectam e jogam online) se tornou inutilizável por um grande ataque de DDoS, que derrubou servidores e tornou dezenas de milhões de pessoas incapazes de jogar online.

    Os cibercriminosos por trás do ataque, o agora extinto Lizard Squad, disseram que o ataque foi orquestrado pelo grupo terrorista ISIS e que eles também colocaram uma bomba no avião em que o presidente da Sony Online Entertainment, John Smedley, estava voando durante o ataque. O avião pousou sem problemas.

    Ataques de DoS são muito comuns no mundo dos jogos, então o esquema geral não teria nada de particularmente específico nesse ataque, se não fosse o fato de que a PSN sofreu uma enorme invasão e violação de dados em 2011, que abalou a Sony e fez com que ela prometesse melhorar sua segurança online. Essa invasão, apenas 3 anos mais tarde, foi significativamente menor, mas ajudou a prejudicar ainda mais a confiança do consumidor na Sony e a mostrar como as empresas podem ser indefesas e apáticas em face do mundo online moderno.

    Esse foi muito decepcionante.

    A guerra virtual de Hong Kong de 2014 – Um ataque sem igual

    Os ataques de DDoS contra a imprensa independente de Hong Kong

    A Estônia pode ter sido o primeiro país a ser vítima de um ataque de DoS político, mas esse ataque não foi o último nem o maior. Essa honra pertence à mídia independente em Hong Kong, que não sofreu com DDoS por dias ou semanas, mas por meses, à medida que os protestos “Occupy Central” tornaram-se maiores e mais violentos.

    Os sites Apple Daily e PopVote, que orquestraram eleições simuladas e promoveram marchas pró-democracia que inundaram as ruas de Hong Kong, foram vítimas de um ataque de DDoS sem precedentes, com mais de 500 GB de “tráfego indesejado” sendo transmitido em seus servidores por vez com ajuda de servidores invadidos da Amazon e LeaseWeb, que os tornou quase totalmente inúteis. Eventualmente, a empresa principal desses dois sites, a Cloudfare, foi atacada também com DoS.

    O total foi de 250 milhões de solicitações de DNS por segundo.

    Infelizmente, os ataques de DoS só acabaram quando os protestos foram contidos à força em dezembro de 2014, com 995 prisões, 255 manifestantes feridos, 130 policiais machucados e a China nem um pouco mais próxima de eleições livres.

    O que você pode fazer para se proteger contra ataques de DoS?

    Quase nada, em resumo.

    Exceto garantir que seu computador não faça parte de uma botnet (para isso, instale um antivírus, melhore a segurança do roteador e atualize as senhas do seu dispositivo conectado) para garantir que você não esteja contribuindo diretamente, pois evitar que eles aconteçam está fora do seu alcance. Mesmo se não for parte de um, não há muito a fazer se seu computador for um dos dispositivos “refletidos”, pois esse truque explora práticas de computação legítimas.

    Mesmo assim, se você administra um servidor ou é administrador web, você tem algumas ferramentas à sua disposição para lidar com muitos tipos de ataques de DoS, se for rápido o suficiente para identificá-los:

    • Tráfego morto pode ser redirecionado para um “buraco negro”, um servidor não existente onde ele não incomodará mais ninguém.

    • Há ferramentas de gerenciamento de largura de banda que podem examinar e identificar pacotes de dados potencialmente perigosos e bloqueá-los antes que acessem sua rede.

    • Filtros upstream podem usar “centros de limpeza” para filtrar conexões ruins e permitir apenas que as boas cheguem à rede.

    • Há sempre a opção de alugar mais largura de banda para acomodar o tráfego “extra”.

    Firewalls, que por acaso oferecemos no AVG AntiVirus Business Edition, também podem bloquear ataques extremamente simples de DoS se você instruí-lo a bloquear todo o tráfego de certos endereços IP problemáticos.

    Mas, para o usuário médio? Isso não é realmente algo que pode ser controlado. Você precisará cavalgá-lo ou talvez usar outro serviço temporariamente. Há destinos piores que usar o Hulu, certo?

    Ferramentas de opressão. Ferramentas de protesto

    O ataque de DoS está aqui para ficar, por bem ou por mal.

    Embora seja fácil para nós condenarmos todas as formas de ataques online, os ataques de DoS têm um espaço muito específico no panorama de ameaças online. Eles são ferramentas de opressão, mas também de protesto. Eles são certamente ruins, mas também muito melhores que vazamentos e doxxing. Eles afetam pessoas, mas o cidadão comum nunca é o alvo. Embora nosso desejo seja viver em um mundo em que os ataques de DoS não existam, seria muito melhor viver em um mundo onde eles não fossem necessários.

    E se não há nada que o usuário comum possa fazer para impedi-los do ponto de vista técnico, talvez nós possamos ajudar a caminhar um pouco mais rumo a esse mundo ideal. Mas, essas ameaças estão à nossa frente, certo?

    De qualquer maneira: fique protegido!

    Proteja seu iPhone contra ameaças com o AVG Mobile Security

    Instalação gratuita

    Proteja seu Android contra ameaças com o AVG AntiVirus

    Instalação gratuita
    Ameaças
    Segurança
    Joseph Regan
    2-07-2018