A investida ao servidor – Por detrás dos ataques DDoS
A investida ao servidor – Por detrás dos ataques DDoS
Agosto 16, 2023
Os ataques DDoS, que eram apenas uma minoria, têm-se tornado um dos cibercrimes mais utilizados tanto por hackers como por hacktivistas. Ao invadir servidores com milhões de pedidos, estes grupos fazem com que uma plataforma fique indisponível durante horas ou até dias.
Apesar de haverem ataques DDoS bastante rápidos – que duram apenas poucos minutos -, estes conseguem ser bastante eficazes a tanto na perda de receita financeira como de reputação das entidades atacadas.
Este tipo de ciberataque foi registado pela primeira vez desde 1996 e, desde então, que têm aumentado. Em 2018, foram registados 7.9 milhões de ataques DDoS e, em 2013, o número quase dobrou, chegando aos 15 milhões.
Neste artigo iremos rever o que são os ataques DDoS, o que leva os hackers a fazê-lo, quais as consequências para as plataformas atacadas e como mitigar este cibercrime.
Tabela de Conteúdos:
O que são ataques DDoS?
Sendo a sigla para Distributed Denial of Service (ataque distribuído de negação de serviço), DDoS significa que um dado site ou plataforma fica indisponível para todos os visitantes e utilizadores. Enquanto cibercrime, os ataques DDoS caracterizam-se por uma sobrecarga da plataforma, muitas vezes através de um número elevado de pedidos ao servidor.
Ao contrário de outros ciberataques, estes não invadem o sistema através de uma falha no código, mas sim de uma “inundação do mesmo” de forma a que as suas páginas fiquem inválidas. Para tal, hackers utilizam badbots vindos de diferentes origens, tornando-se difícil de serem rastreados.
Causas e efeitos destes ciberataques
Se, há cerca de uma década, os ataques DDoS constituíam uma minoria dos cibercrimes a nível mundial, actualmente o número destes ataques tem estado a aumentar, muito devido a tensões geopolíticas.
A Guerra da Ucrânia é apenas um exemplo do motivo que levou hackers e hacktivistas (o grupo IT Army of Ukraine) a organizarem-se e a levarem a cabo inúmeros ataques DDoS a entidades russas e pró-Rússia. Além destes, existem grupos organizados de hackers pró-Rússia que reclamam ataques feitos em países que se declaram contra o país no contexto da guerra da Ucrânia. Por sua vez, o grupo de hackers NoName057(16) reivindicaram também ataques levados a cabo em França devido ao posicionamento do país no golpe de Estado levado a cabo no Níger.
Ainda acerca das motivações geopolíticas, o grupo de hackers AnonymousSudan já se juntaram contra a Microsoft, provando que o hacktivismo político não ataca apenas entidades governamentais ou económicas.
Contudo, existem ataques que são perpetrados contra uma empresa ou organização competidora com o intuito de ganhar vantagem estratégica. Ataques com esta motivação normalmente acontecem em dias de grande receita financeira, como a Black Friday.
Como consequência destes ataques, as páginas das plataformas afectadas ficam indisponíveis tanto para utilizadores como para trabalhadores da plataforma. Como tal, as entidades por detrás das plataformas podem ter uma perda significativa de receita, mas também de produtividade.
A perda de receita está também relacionada com os gastos adicionais para reaver essas páginas, reparar danos e apostar em medidas de cibersegurança mais robustas.
Além das consequências financeiras, as organizações afectadas podem ainda perder reputação e correr riscos legais, caso os dados pessoais de clientes e utilizadores sejam postos em risco.
Tipos de ataques DDoS e como funcionam
Os hackers que levam a cabo ataques DDoS, utilizam, na sua maioria, botnets originários de servidores virtuais privados, o que os torna mais difíceis de rastrear.
Estes ciberataques têm como objectivo bloquear a entrada de utilizadores e operadores numa plataforma, de forma a que hackers consigam pedir um resgate. O maior ataque DDoS já registado teve uma afluência de 71 milhões de pedidos por segundo, que culminou com o bloqueio do site de uma empresa de telecomunicações sul-americana.
De entre os vários tipos de ataques DDoS, podem ser listados:
- Ataques volumétricos – São os mais comuns e os hackers utilizam botnets para invadir um servidor ou domínio com milhões de pedidos por segundo, fazendo com que esse vá abaixo e fique indisponível para utilizadores e operadores.
- Ataque de protocolo – Hackers definem protocolo nulo de forma a que este não consiga mostrar a informação pedida por utilizadores.
- Ataque fragmentado – É caracterizado pelo envio de botnets fragmentados que o protocolo não consegue ler. Por isso, o servidor estará a consumir recursos infindáveis e congestionada durante tempo indefinido.
- Ataque DNS – Ao atacar a infraestrutura do domínio da plataforma, o nome desta fica inválido, tornando-o inacessível.
- Ataque HTTP/S – O servidor é sobrecarregado com pedidos de acesso, fazendo com que o site fique bloqueado.
- Ataque de amplificação de NTP – Hacker aproveitam a uma vulnerabilidade na rede do protocolo para gerar uma exagerada quantidade de tráfego e tornar a plataforma indisponível.
- Ataque “smokescreen” – Alguns dos ataques DDoS são levados a cabo para distrair as organizações de um outro cibercrime. Enquanto se tenta que a plataforma fique novamente online, dados podem estar a ser roubados, por exemplo.
Mitigação de ataques DDoS
Enquanto tipo de ciberataque que é regularmente perpetrado por hackers de todo o mundo e com os mais diversos fins, é essencial que as empresas tenham uma estratégia de mitigação alargada e confiável.
Para mitigar estes ataques, é recomendado que se utilizem algumas destas estratégias:
- Filtrar tráfego – Ao utilizar firewalls e outros sistemas de prevenção de intrusos, é possível impedir tráfego malicioso.
- Limite de tráfego – Dado que a grande maioria destes ataques são volumétricos, impor um limite de tráfego no site evita que o servidor seja inundado por botnets.
- Distribuição de tráfego – Enviar o tráfego para diferentes servidores pode fazer com que um ataque DDoS seja difícil de realizar.
- Blackholing – Quando o tráfego começa a aumentar exponencialmente, esta estratégia faz com que ele caia e ele deixe de estar online. Apesar de ser eficaz, esta prática também pode fazer cair tráfego fidedigno.
Prevenir ataques DDoS
Além das estratégias de mitigação de ataques DDoS, as empresas devem apostar em estratégias preventivas, tais como:
- Análise de tráfego – A monitorização do tráfego do site é uma das formas de constatar algum pico fora do usual e adoptar alguma estratégia de mitigação.
- Detecção de fluxo – A análise de fluxo possibilita o detectar de padrões atípicos de tráfego.
- Análise comportamental – Ao analisar o comportamento dos utilizadores da plataforma, é possível identificar padrões de actividade, assim como, qualquer actividade incomum.
- Detecção de anomalias – O uso de tecnologia emergente como Machine Learning pode tornar a detecção de anomalias no tráfego mais fácil e rápida, possibilitando também uma resolução mais eficaz.