Enquanto a maioria das pessoas já ouviu falar de ataques DDoS, nem todos sabem que existem vários tipos de tais ataques. Dessa forma, foi solicitado a Pishdadi, que ele fornecesse uma visão geral dos diferentes tipos de ataques e ilustrasse a sua gravidade, além de quais tipos de de danos podem ser provocados por um ataque DDoS. Diante dessas solicitações, o executivo disse que a maneira mais fácil de definir DDoS é discutir o que ele representa.
Surgimento dos Ataques DDoS
O que primeiramente se originou a partir de DoS, foi seu real significado, Denial of Service. O segundo "D" significa "Distribuído". No final dos anos 90 e início de 00, foi quando os primeiros verdadeiros ataques DDoS ocorreram. De acordo com o Pishdadi, uma das primeiras ferramentas divulgadas para a execução de um DDoS foi chamado de "Trinoo." Foi o primeiro de seu tipo, onde as máquinas infectadas foram capazes de receber comandos a partir de uma localização central, que é chamado de botnet C & C (Comando e Controle).
Os fabricantes de botnets tornaram-se muito mais inteligentes e, ao invés de sediar a C & C a partir de um único host, eles começaram a usar o IRC (Internet Relay Chat). A máquina comprometida se conectaria a uma porta (hostname) que fora codificada para essa finalidade, e se conectaria a um canal onde existe uma única entrada de bate-papo. Na sequência, haveria dezenas de milhares de máquinas comprometidas e, em seguida, seria executado o ataque.
Ascensão dos DDoS, Botnets e Maneiras de Atacar
O primeiro ataque foi amplamente divulgado no início do ano 2000, quando os gigantes da Internet como o Yahoo!, simplesmente saíram do ar. A quantidade de largura de banda que era necessária para isso precisaria ter sido enorme naqueles dias. Isto é, quando a cena botnet / DDoS começou a decolar. O objetivo de um DDoS é causar uma "negação de serviço" para o usuário ou usuários finais, de exatamente tudo o que está sendo atacado. Isto pode ser feito de várias maneiras diferentes. As três maneiras mais comuns são as seguintes:
1. Saturar todas as ligações que o destino tiver para a Internet, evitando assim que os usuários reais sejam capazes de se conectar. Isso geralmente é feito com uma inundação UDP, e, ultimamente, um reflexo de inundação UDP.
2. Saturar o CPU do roteador ou host de máquina, enviando mais pacotes por segundo. Quando isto ocorre, praticamente nenhuma tentativa de conexão seria processada a partir do dispositivo, e nem enviada para o destino. Isso geralmente é feito com um Synflood.
3. Sobrecarregar de pedidos a aplicação, parecendo que seja fruto da interação de usuários reais. Um exemplo disso seria ter mil servidores fazendo uma solicitação para a página do seu site, tudo ao mesmo tempo. Nos dias de hoje, uma vez que os sites estão relacionados a banco de dados orientados, este efeito é ainda maior. Os servidores Web e banco de dados ficam sobrecarregados rapidamente.
Aumento dos Ataques Desde 2012
Diante de um aumento significativo de ataques DDoS desde o ano passado, Ameen falou sobre as razões que existem por trás desta tendência, e sobre quais os tipos de organização representam maior risco. Esse aumento significativo na quantidade de ataques, é um resultado direto do uso indevido de informações para fins de marketing. Enquanto o método que foi usado para derrubar a Spamhaus foi bastante conhecido e tinha ocorrido por um determinado período, a atenção da mídia foi propositadamente explorada pela CloudFlare para seu próprio benefício.
Isto expôs bastante este tipo de ataque, a um público muito mais amplo do que se poderia imaginar. Basicamente, são definidos os projetos dos responsáveis por essas investidas maliciosas, e também como os atacantes colocam em prática os DDoS. Isso exige que sejam implementados de forma massiva e com os recursos adequados.
Dimensão e Objetivos dos Ataques DDoS
Na maioria das vezes, as pessoas não tem idéia da grande reação gerada através dos ataques DDoS. Os seus articuladores estariam apenas tentando conseguir seu objetivo, que é o de derrubar o alvo. Mas isso passa a não ser tão simples, uma vez que causa uma série de transtornos. Nesse contexto, a CloudFlare divulgou o tamanho desse ataque em uma base diária, além de esclarecer várias pessoas sobre o o método.
Embora se acredite que o número final de 300Gb/s seria incompatível com a dimensão do que realmente ocorreu, sendo o número real girando em torno de 100GB/s, isto ainda representava um enorme quantidade de largura de banda. Como resultado, as ferramentas surgiram por todo o lugar para realizar um scanning de máquinas de host (para adicionar ao seu banco de dados), juntamente com ferramentas para executar o ataque. Isso fez com que o processo se tornasse tão simples, que até mesmo uma criança de 10 anos com o Windows teria a capacidade de apontar e clicar e em segundos, gerando alguns Gb/s de tráfego UDP.
A triste realidade é que todo mundo está em risco. Muitas vezes, as pessoas se atacaram e nem elas mesmo têm idéia do motivo que as levou a fazer isso. Tudo começa, em muitos casos, com alguém que antipatiza com um negócio ou com uma determinada causa; seja talvez um concorrente ou até mesmo uma situação que envolva extorsão de dinheiro.
Mitigação dos Ataques e Lições Aprendidas na Prática
Ameen foi questionado sobre a importância da coleta de inteligência quando se trata de mitigar os efeitos de um enorme ataque DDoS, e qual tipo de informação está sendo procurada. Ele disse que tudo isso é de extrema importância para toda a comunidade online. O ato de mitigar o ataque só consegue realmente freá-lo quanto a um alvo específico, mas possibilita encontrar a informação que levará até ao C & C. Isso pode ser relatado por vários grupos de "white hat", que disponibilizam seu tempo para desmantelar esses botnets para que eles não possam atacar ninguém.
Pishdadi também foi questionado sobre quais algumas das lições que ele aprendeu quando mitigou grandes ataques DDoS que impactam seus clientes. Em resposta, ele disse aprendeu, rapidamente, que nenhum ataque é o mesmo, que nunca eles acontecem da mesma maneira. Não existe um dispositivo "one size fits all" que vai parar a cada ataque. Para ser responsável, a pessoa precisa ter muitas ferramentas diferentes em seu arsenal, algumas vezes utilizados em conjunto, juntamente com alguns trabalhos manuais, para dar um freio a alguns dos ataques mais inteligentes.
Além disso, Ameen disse que é importante notar que o tamanho do ataque não é tudo, não é um fator determinante. Um ataque pode realmente, ocorrer em menor escala, assemelhando-se bastante semelhantes ao tráfego normal. E são exatamente esses ataques menores que são os mais difíceis de serem controlados.
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=1854&p=3