Ataques DDoS: o bombardeio de tapetes está aumentando rapidamente

Nos últimos anos, os ataques distribuídos de negação de serviço (DDoS) tornaram-se mais frequentes e sofisticados. Os malfeitores continuam a encontrar novas formas de inundar as redes alvo com ataques em grande escala que crescem exponencialmente e utilizam diferentes técnicas de ataque.

O bombardeio de tapetes é uma daquelas técnicas destrutivas que se tornou uma grande preocupação para empresas e prestadores de serviços em todo o mundo, especialmente porque está sendo usado com mais frequência por hacktivistas sofisticados.

O impacto dos ataques DDoS com bombas em massa pode ser devastador para uma organização. Eles causam longos períodos de inatividade em grandes partes da rede, além de infligir perdas financeiras e danos à reputação.

Os ataques DDoS são projetados para sobrecarregar os recursos do alvo, tornando seus serviços inacessíveis a usuários legítimos. O bombardeio de tapetes, no entanto, leva o ataque DDoS tradicional a um nível totalmente novo, aproveitando uma vasta rede de botnets para orquestrar ataques simultâneos a múltiplos alvos. A enorme escala e complexidade desta abordagem tornam a sua defesa particularmente difícil.

Aqui estão três elementos de um ataque a bomba.

1. Recrutamento de botnets: Os invasores recrutam um grande número de dispositivos comprometidos, incluindo computadores, servidores, roteadores e dispositivos IoT, sem o conhecimento dos proprietários. Esses dispositivos são então agregados em uma botnet.2. Execução do ataque:Depois que o botnet for recrutado, o invasor provavelmente se afastará e aguardará o comando de ataque, pois presume que o alvo tem uma solução de mitigação.

O invasor enviará então um ataque disperso, em vez de enviar para IPs de destino individuais, para tentar medir os limites configurados e procurar o que pode ou não ser violado.

Em última análise, eles estão buscando um ponto ideal logo abaixo do limite de taxa configurado. Uma vez encontrado, o invasor irá recuar ou talvez mantê-lo por um período de tempo (horas ou dias) para saber se foi detectado e colocado na lista de bloqueio.

Agora, para o comando de ataque. O invasor inicia o mesmo volume de tráfego malicioso, desta vez bombardeando toda a(s) sub-rede(s) ou CIDR/s (milhares de IPs de destino) ao mesmo tempo.

Ao permanecerem abaixo do limite, todos os servidores atacados tentam responder, o que cria uma inundação avassaladora que prejudicará os serviços internos, incluindo o dispositivo de mitigação. Esta inundação de tráfego sobrecarrega a infra-estrutura de rede do alvo, tornando os serviços online inacessíveis.

3. Uma abordagem multivetorial: O bombardeio DDoS emprega múltiplos vetores de ataque, incluindo ataques volumétricos (inundando a rede com tráfego excessivo), ataques à camada de aplicativos (visando aplicativos ou serviços específicos) e ataques de protocolo (explorando vulnerabilidades em protocolos de rede). Essa abordagem multifacetada maximiza as chances de sucesso.

Proteger-se contra ataques DDoS de bombardeio massivo é mais difícil do que proteger contra um ataque direcionado, simplesmente porque a maioria dos fornecedores de DDoS mitiga IPs individuais e não sub-redes e redes. As consequências de uma protecção deficiente variam.

As organizações alvo de bombardeios DDoS podem enfrentar interrupções significativas nos serviços, levando a perdas financeiras, reputação manchada e insatisfação do cliente. A indisponibilidade de serviços críticos pode causar graves desafios operacionais.

Como o bombardeio DDoS atinge simultaneamente diversas entidades, os danos colaterais também são uma ocorrência comum. Mesmo que um alvo consiga mitigar o ataque, o grande volume de tráfego malicioso pode afetar a infraestrutura mais ampla, causando lentidão ou interrupções para outros utilizadores e serviços.

Para se protegerem contra ataques de bombas em massa, as organizações devem seguir diversas práticas recomendadas. Para começar, eles precisarão de um detector e mitigador de DDoS que seja capaz de exibir o monitoramento da rede em tempos de paz, bem como identificar padrões de tráfego anormais e possíveis ataques de DDoS em tempo real. A detecção precoce permite uma resposta rápida. O próximo passo é ter uma contra-ação automática de mitigação.