O que é um ataque de negação de serviço (DoS)?

Como um ataque de DoS funciona?

Em um ataque de negação de serviço, um hacker usa um programa para inundar um servidor com tráfego malicioso. As solicitações que compõem esse tráfego parecem vir de usuários legítimos, fazendo com que o servidor valide as solicitações. Na prática, o “serviço” é “negado” aos usuários legítimos devido à consequente perda de largura de banda e recursos de rede.

O sistema ou dados atacados ficam indisponíveis para os usuários que precisam deles. Os ataques de DoS geralmente são usados para extorsão porque, por exemplo, uma empresa que não consegue fornecer seus serviços aos clientes pode perder receita e sofrer danos à reputação. Dessa forma, os ataques de DoS são similares ao ransomware, mas o refém é o serviço da vítima, não seus dados.

Qual é a diferença entre um ataque de DoS e um ataque de DDoS?

Enquanto um ataque de DoS vem de apenas uma fonte, um ataque distribuído de negação de serviço, ou ataque DDoS, envia solicitações fraudulentas de várias fontes ao mesmo tempo. Normalmente, um criminoso usa um grupo de dispositivos conectados à internet, às vezes em escala global, para inundar o servidor de destino, o que pode sobrecarregá-lo com muito mais facilidade do que um ataque de DoS.

Esse grupo de computadores infectados é chamado de botnet. As botnets operam de maneira sincronizada, aguardando instruções de um invasor em um único endereço IP para iniciar um ataque de inundação. Esses ataques geralmente são programados para iniciar em um horário específico e podem durar horas ou até dias.

Um servidor sofrendo um ataque de DoS pode simplesmente bloquear a única conexão que está realizando o ataque. Os ataques de DDoS são muito mais perigosos e difíceis de mitigar porque o fluxo de tráfego vem de várias fontes simultaneamente.

Além disso, os criminosos agora estão usando dispositivos de internet das coisas (IoT) para tornar suas botnets ainda mais perigosas, reduzindo os processos manuais. Ou seja, eles podem usar dispositivos de IoT para facilitar a sincronização dos seus dispositivos de botnet, aumentando a eficácia dos seus ataques.

Quais são alguns ataques de DoS historicamente significativos?

Os ataques de DDoS são muito mais comuns do que os ataques de DoS, principalmente porque são muito mais difíceis de bloquear e, portanto, podem ser executados por um longo período de tempo.

Os provedores de serviços na nuvem costumam ser vítimas de ataques de DDoS devido à sua inerente vulnerabilidade a essas ameaças. Aqui estão alguns ataques recentes que viraram notícia:

• Amazon: Em fevereiro de 2020, a Amazon sofreu um dos maiores ataques de DDoS já registrados. Usando reflexão de CLDAP (Connectionless Lightweight Directory Access Protocol), os agressores atacaram um cliente da AWS a uma taxa de 3,3 terabytes por segundo (TBps) durante três dias.
• GitHub: em fevereiro de 2018, agressores atacaram os servidores do GitHub a uma taxa de 1,35 terabytes por segundo durante 20 minutos. “Dezenas de milhares de terminais únicos” abrigavam “mais de mil sistemas autônomos diferentes” que iniciaram o ataque.
• Google: em outubro de 2020, o Google sofreu um ataque de amplificação de UDP que durou seis meses. Ele foi montado em três provedores de serviços de internet (ISPs) chineses, enviando mais de 2,5 terabytes de dados inúteis por segundo para os servidores do Google.

Como identificar um ataque de DoS?

Os provedores de infraestrutura tendem a não filtrar os anúncios de rota, que informam às pessoas como ir de um lugar para outro na internet. E, o mais importante, eles também tendem a não filtrar os pacotes para verificar a origem do tráfego. Essas duas condições facilitam o envio de tráfego de ataque a um alvo por criminosos.

Em geral, os agressores têm três motivações para os ataques: hostilidade em relação ao alvo (uma motivação comum para ataques de “hacktivismo”), extorsão e a intenção de furtar alguém enquanto o serviço está sendo negado. Embora não haja nenhum sinal de alerta antecipado para um ataque de DoS, um profissional de segurança experiente pode detectar o tráfego enviado por um agressor para determinar se você é um alvo viável ou não.

Os agentes enviam um grande número de solicitações, para diferentes partes de um site, para ver se os servidores web estão vulneráveis a um ataque de DoS. Esses primeiros “tremores” web são um sinal de que sua organização pode ser atacada.

Com o monitoramento de segurança de rede adequado, sua equipe de segurança cibernética pode analisar o tráfego de rede e descobrir padrões em pacotes que sinalizam claramente um ataque. Para identificar se você está sob ataque em tempo real, é preciso observar os metadados dos seus roteadores e switches — uma tarefa mais fácil de ser realizada com uma ferramenta de monitoramento de qualidade.

Tipos de ataques de DoS

Existem quatro tipos principais de ataques de DoS que visam explorar ou extorquir sistemas e dados:

• Redirecionamento do navegador: um usuário solicita o carregamento de uma página, mas um hacker redireciona o usuário para uma página maliciosa.
• Encerramento de conexão: um criminoso fecha uma porta aberta, negando o acesso de um usuário a um banco de dados.
• Destruição de dados: um hacker exclui arquivos, levando a um erro de “recurso não encontrado” quando alguém solicita esse arquivo ou, se um aplicativo contém uma vulnerabilidade que o deixa aberto a ataques de injeção, o criminoso pode negar o serviço descartando a tabela do banco de dados.
• Esgotamento de recursos: um criminoso solicita repetidamente acesso a um recurso específico, sobrecarregando o aplicativo web e fazendo com que ele fique lento ou falhe ao recarregar repetidamente a página.

Tipos de ataques de DDoS

Esses são alguns exemplos específicos de ataque de DDoS para se ter em mente:

• Ataque SYN flood: um invasor explora uma comunicação TCP (SYN-ACK) enviando uma grande quantidade de pacotes SYN, consumindo os recursos do sistema alvo
• Spoofing: um agressor se passa por um usuário ou dispositivo e, após ganhar confiança, usa pacotes falsos para iniciar um ataque cibernético
• Ataque de DDoSna camada de aplicação : como o nome sugere, esse ataque, uma vez implantado, explorará uma vulnerabilidade ou configuração incorreta em um aplicativo e negará ao usuário o acesso ou o uso do aplicativo
• Ataque DNS flood: também conhecido como ataque de amplificação de DNS, um invasor interrompe a resolução de DNS de um determinado nome de domínio sobrecarregando seus servidores
• Ataque ICMP flood: também conhecido como “ping flood”, um invasor falsifica um IP de origem e cria um ataque smurf. Esse método também pode ser usado para enviar um “ping da morte”, em que pacotes grandes causam o estouro do buffer
• Ataque UDP flood: um invasor sobrecarrega portas aleatórias do seu alvo, o que o faz consumir recursos e responder com pacotes de “destino inacessível”

Como prevenir um ataque de DoS

Os ataques de DoS ou DDoS podem ocorrer a qualquer momento, mas, com as práticas recomendadas adequadas, você pode garantir que sua organização tenha todas as ferramentas e protocolos necessários para proporcionar uma defesa robusta.

Aqui estão cinco maneiras de prevenir um ataque de DoS:

1. Crie um plano de resposta à negação de serviço. Examine seu sistema e identifique possíveis falhas de segurança, vulnerabilidades ou brechas na postura. Elabore um plano de resposta em caso de ataque.
2. Proteja sua infraestrutura. Soluções eficazes de firewall, monitoramento de tráfego e inteligência sobre ameaças baseadas na nuvem aumentam muito suas chances de evitar ataques de DoS.
3. Entenda os sinais de alerta. Fique de olho em baixo desempenho de rede, tempo de inatividade do site, uma interrupção ou o aumento repentino de mensagens de spam. Todos esses sintomas exigem ação imediata.
4. Adote serviços baseados na nuvem. Os recursos na nuvem fornecem mais largura de banda do que os locais e, como seus servidores não estão todos no mesmo local, os criminosos têm mais dificuldade em atacar você.
5. Monitore atividades incomuns. Isso permitirá que sua equipe de segurança detecte e mitigue um ataque de DoS ou DDoS em tempo real. Na próxima seção, abordaremos maneiras de reduzir completamente os riscos de sofrer ataques de DoS e DDoS.

Como reduzir os riscos de sofrer um ataque de DoS?

A postura de segurança e a visibilidade inadequadas podem abrir as portas não apenas para ataques de DoS e DDoS, mas também para outras ameaças, como malware, ransomware, spear phishing e mais. Para manter sua organização segura e maximizar suas chances de mitigar com eficácia os ataques de DoS e DDoS, você precisa de proteção adequada contra DoS e DDoS. Essas são algumas maneiras de diminuir suas chances de receber ataques de DoS ou DDoS.

• Obtenha sua segurança da nuvem. A segurança disponibilizada na nuvem permite que você estenda as políticas a todos os seus usuários, onde quer que estejam e independentemente do dispositivo, além de oferecer visibilidade completa sobre o seu ambiente. Além disso, com as atualizações automáticas e sem a necessidade de fazer correções ou ajustes manuais, você estará sempre pronto para se defender contra as ameaças mais recentes.
• Adote a detecção e resposta estendidas (XDR). XDR é uma evolução da detecção e resposta de terminais (EDR) que oferece visibilidade sobre ameaças em terminais, bem como informações sobre possíveis riscos de dados e de de segurança na nuvem — tudo isso com inteligência holística sobre ameaças. Isso diminuirá o número de falsos positivos que uma equipe de segurança normalmente recebe, liberando-a para ser mais produtiva.
• Considere o uso de um centro de operações de segurança (SOC). Um SOC gerenciado na nuvem permite cobrir áreas que, de outra forma, podem não ser cobertas por sua equipe de segurança por falta de largura de banda. Entre elas, provisionamento de políticas na nuvem, detecção e resposta a ameaças, proteção de dados e até conformidade, em alguns casos. Assim como o XDR, um SOC gerenciado oferece a você e sua equipe liberdade para se concentrar em assuntos mais urgentes.
• Implemente uma arquitetura zero trust. De acordo com a Gartner, até 2025, pelo menos 70% das novas implantações de acesso remoto serão feitas principalmente por ZTNA, em vez de serviços de VPN, um aumento em relação aos menos de 10% no final de 2021. Isso ocorre porque a segurança zero trust concede acesso apenas com base no contexto (ou seja, usuário, dispositivo, local e aplicativo), garantindo que criminosos sejam mantidos sempre fora.

Quando se trata de zero trust, apenas um fornecedor oferece zero trust desenvolvido na nuvem. Por acaso, é o mesmo fornecedor que faz parceria com os melhores arquitetos de XDR, para que você possa detectar ameaças em todos os seus terminais, nuvens e dados. Esse fornecedor é a Zscaler.

Como a Zscaler pode ajudar

A Zscaler é o único provedor de serviços de segurança com uma plataforma forte o suficiente para se defender contra as ameaças mais recentes, incluindo ataques de DoS e DDoS. O Zscaler Private Access™ (ZPA™) faz parte da Zscaler Zero Trust Exchange™, a plataforma de Security Service Edge (SSE) mais implantada e bem avaliada do mundo.

O design exclusivo do ZPA é baseado em quatro princípios fundamentais:

• Conectar usuários a aplicativos sem inseri-los na rede
• Nunca expor aplicativos a usuários não autorizados
• Oferecer segmentação de aplicativos sem segmentar a rede
• Fornecer acesso remoto seguro sem usar dispositivos de VPN

O ZPA fornece uma maneira simples, segura e eficaz de acessar aplicativos internos. O acesso é baseado em políticas criadas pelo administrador de TI no ZPA Admin Portal e hospedadas na nuvem da Zscaler. Em cada dispositivo de usuário, nosso Zscaler Client Connector é instalado, o que garante a postura do dispositivo do usuário e estende um microtúnel seguro para a nuvem da Zscaler quando um usuário tenta acessar um aplicativo interno.

Adjacente a um aplicativo executado em uma nuvem pública ou data center, o ZPA coloca nosso App Connector, implantado como uma VM, que é usado para estender um microtúnel para a nuvem da Zscaler. O Z-Connector estabelece uma conexão de saída com a nuvem e não recebe nenhuma solicitação de conexão de entrada, evitando ataques de DDoS.

Na nuvem da Zscaler, um agente de segurança de acesso à nuvem, ou CASB, aprova o acesso e faz a conexão do usuário ao aplicativo. O ZPA é 100% definido por software, portanto, não requer dispositivos e permite que os usuários se beneficiem da nuvem e da mobilidade, mantendo a segurança de seus aplicativos — benefícios inalcançáveis com os métodos tradicionais e legados de conectividade de rede, como firewalls locais.