Só para si: Avaliação GRATUITA de 60 dias da maior biblioteca digital do mundo.A família SlideShare acabou de crescer. Desfrute do acesso a milhões de ebooks, áudiolivros, revistas e muito mais a partir do Scribd. Show
Leia gratuitamente 60 dias Cancele a qualquer momento.
Diagrama de um ataque DDoS. Observe como vários computadores estão atacando um único computador Na computação , um ataque de negação de serviço ( ataque DoS ) é um ataque cibernético no qual o perpetrador busca tornar uma máquina ou recurso de rede indisponível para seus usuários pretendidos interrompendo temporariamente ou indefinidamente os serviços de um host conectado à Internet . A negação de serviço é normalmente realizada inundando a máquina ou recurso de destino com solicitações supérfluas na tentativa de sobrecarregar os sistemas e evitar que algumas ou todas as solicitações legítimas sejam atendidas. [1] Em um ataque distribuído de negação de serviço ( ataque DDoS ), o tráfego de entrada que inunda a vítima se origina de muitas fontes diferentes. Isso efetivamente torna impossível parar o ataque simplesmente bloqueando uma única fonte. Um ataque DoS ou DDoS é análogo a um grupo de pessoas aglomerando-se na porta de entrada de uma loja, dificultando a entrada de clientes legítimos, interrompendo assim o comércio. Os criminosos que perpetram ataques DoS geralmente têm como alvo sites ou serviços hospedados em servidores da Web de alto perfil , como bancos ou gateways de pagamento com cartão de crédito . Vingança , chantagem [2] [3] [4] e ativismo [5] podem motivar esses ataques. Panix , o terceiro ISP mais antigo do mundo, foi o alvo do que se pensa ser o primeiro ataque DoS. Em 6 de setembro de 1996, a Panix foi submetida a um ataque de inundação SYN que interrompeu seus serviços por vários dias enquanto os fornecedores de hardware, principalmente a Cisco, descobriam uma defesa adequada. [6] Outra demonstração inicial de ataque DoS foi feita por Khan C. Smith em 1997 durante um evento DEF CON , interrompendo o acesso à Internet à Las Vegas Strip por mais de uma hora. O lançamento do código de amostra durante o evento levou ao ataque online da Sprint , EarthLink , E-Trade e outras grandes corporações no ano seguinte. [7] Em 5 de março de 2018, um cliente não identificado da provedora de serviços com sede nos Estados Unidos Arbor Networks foi vítima do maior DDoS até aquela data, atingindo um pico de cerca de 1,7 terabits por segundo. [8] O recorde anterior havia sido estabelecido alguns dias antes, em 1º de março de 2018, quando o GitHub foi atingido por um ataque de 1,35 terabits por segundo. [9] Em fevereiro de 2020, Amazon Web Services experimentou um ataque com um volume máximo de 2,3 terabits por segundo. [10] [11] Durante os protestos anti-extradição de Hong Kong em junho de 2019, o aplicativo de mensagens Telegram foi alvo de um ataque DDoS, com o objetivo de evitar que os manifestantes o usassem para coordenar movimentos. Os fundadores do Telegram afirmaram que este ataque parece ser de um "ator estatal" via endereços IP originários da China. [12] Em 6 e 7 de setembro de 2019, a Wikipedia foi derrubada por um ataque DDoS na Alemanha e em algumas partes da Europa. Os usuários de mídia social, enquanto aguardavam a recuperação da Wikipedia, criaram uma " hashtag ", #WikipediaDown, no Twitter em um esforço para chamar a atenção do público. [13] Ataques de negação de serviço são caracterizados por uma tentativa explícita de invasores de impedir o uso legítimo de um serviço. Existem duas formas gerais de ataques DoS: aqueles que causam falhas nos serviços e aqueles que inundam os serviços. Os ataques mais sérios são distribuídos. [14] Um ataque de negação de serviço distribuído (DDoS) ocorre quando vários sistemas inundam a largura de banda ou os recursos de um sistema direcionado, geralmente um ou mais servidores da web. [14] Um ataque DDoS usa mais de um endereço IP exclusivo ou máquinas, geralmente de milhares de hosts infectados com malware. [15] [16] Um ataque distribuído de negação de serviço normalmente envolve mais do que cerca de 3-5 nós em redes diferentes; menos nós podem ser qualificados como um ataque DoS, mas não é um ataque DDoS. [17] [18] Várias máquinas podem gerar mais tráfego de ataque do que uma máquina, várias máquinas de ataque são mais difíceis de desligar do que uma máquina de ataque e o comportamento de cada máquina de ataque pode ser mais furtivo, tornando mais difícil rastrear e encerrar. Como o tráfego de entrada que inunda a vítima se origina de fontes diferentes, pode ser impossível interromper o ataque simplesmente usando a filtragem de entrada . Também torna difícil distinguir o tráfego de usuário legítimo do tráfego de ataque quando espalhado por vários pontos de origem. Como alternativa ou aumento de um DDoS, os ataques podem envolver falsificação de endereços de remetente IP ( falsificação de endereço IP) complicando ainda mais a identificação e derrota do ataque. Essas vantagens do invasor desafiam os mecanismos de defesa. Por exemplo, simplesmente comprar mais largura de banda de entrada do que o volume atual do ataque pode não ajudar, porque o invasor pode simplesmente adicionar mais máquinas de ataque. A escala dos ataques DDoS continuou a aumentar nos últimos anos, em 2016 ultrapassando um terabit por segundo . [19] [20] Alguns exemplos comuns de ataques DDoS são inundação UDP , inundação SYN e amplificação de DNS . [21] [22] Um ataque DDoS na camada de aplicativo (às vezes chamado de ataque DDoS na camada 7 ) é uma forma de ataque DDoS em que os invasores têm como alvo os processos da camada de aplicativo . [23] [17] O ataque exerce excessivamente funções ou recursos específicos de um site com a intenção de desabilitar essas funções ou recursos. Esse ataque na camada de aplicativo é diferente de um ataque à rede inteira e é freqüentemente usado contra instituições financeiras para distrair o pessoal de TI e segurança das violações de segurança. [24] Em 2013, os ataques DDoS na camada de aplicativo representaram 20% de todos os ataques DDoS. [25] De acordo com pesquisa da Akamai Technologies, houve "51% mais ataques à camada de aplicativo" do quarto trimestre de 2013 ao quarto trimestre de 2014 e "16% mais" do terceiro trimestre de 2014 ao quarto trimestre de 2014. [26] Em novembro de 2017; Junade Ali, cientista da computação da Cloudflare observou que, embora os ataques em nível de rede continuem a ser de alta capacidade, eles ocorrem com menos frequência. Ali observa ainda que, embora os ataques no nível da rede estejam se tornando menos frequentes, os dados do Cloudflare demonstram que os ataques na camada de aplicativos ainda não mostram sinais de desaceleração. [27] Camada de AplicaçãoO modelo OSI (ISO / IEC 7498-1) é um modelo conceitual que caracteriza e padroniza as funções internas de um sistema de comunicação, particionando-o em camadas de abstração . O modelo é produto do projeto Open Systems Interconnection da International Organization for Standardization (ISO). O modelo agrupa funções de comunicação semelhantes em uma das sete camadas lógicas. Uma camada serve à camada acima dela e é servida pela camada abaixo dela. Por exemplo, uma camada que fornece comunicações sem erros em uma rede fornece o caminho de comunicação necessário para os aplicativos acima dela, enquanto chama a próxima camada inferior para enviar e receber pacotes que atravessam esse caminho. No modelo OSI, a definição de sua camada de aplicativo é mais restrita em escopo do que geralmente é implementado. O modelo OSI define a camada de aplicativo como sendo a interface do usuário. A camada de aplicativo OSI é responsável por exibir dados e imagens para o usuário em um formato reconhecível por humanos e fazer a interface com a camada de apresentação abaixo dela. Em uma implementação, as camadas de aplicativo e apresentação são freqüentemente combinadas. Método de ataqueUm ataque DDoS na camada de aplicativo é feito principalmente para fins específicos, incluindo a interrupção de transações e acesso a bancos de dados. Requer menos recursos do que os ataques da camada de rede, mas geralmente os acompanha. [28] Um ataque pode ser disfarçado para parecer tráfego legítimo, exceto que visa pacotes de aplicativos ou funções específicas. O ataque à camada de aplicativo pode interromper serviços como a recuperação de informações ou funções de pesquisa em um site. [25] É muito comum que invasores usem aplicativos pré-construídos e projetos de código aberto para executar o ataque. [ citação necessária ] Um DoS persistente avançado (APDoS) está associado a uma ameaça persistente avançada e requer mitigação DDoS especializada . [29] Esses ataques podem persistir por semanas; o período contínuo mais longo observado até agora durou 38 dias. Este ataque envolveu aproximadamente 50+ petabits (50.000+ terabits) de tráfego malicioso. [30] Os atacantes neste cenário podem alternar taticamente entre vários alvos para criar um desvio para evitar contra-medidas defensivas de DDoS, mas ao mesmo tempo, eventualmente, concentrando o impulso principal do ataque em uma única vítima. Nesse cenário, os invasores com acesso contínuo a vários recursos de rede muito poderosos são capazes de sustentar uma campanha prolongada, gerando níveis enormes de tráfego DDoS não amplificado. Os ataques APDoS são caracterizados por:
Alguns fornecedores oferecem os chamados serviços "inicializadores" ou "estressantes", que possuem interfaces simples baseadas na web e aceitam pagamentos pela web. Comercializados e promovidos como ferramentas de teste de estresse, eles podem ser usados para realizar ataques de negação de serviço não autorizados e permitir que invasores tecnicamente não sofisticados acessem ferramentas de ataque sofisticadas. [32] Normalmente acionado por um botnet , o tráfego produzido por um consumidor estressante pode variar de 5 a 50 Gbit / s, o que pode, na maioria dos casos, negar ao usuário doméstico médio acesso à Internet. [33] A Equipe de Prontidão de Emergência de Computadores dos Estados Unidos (US-CERT) identificou sintomas de um ataque de negação de serviço que incluem: [34]
O ataque DoS mais simples se baseia principalmente na força bruta, inundando o alvo com um fluxo avassalador de pacotes, saturando sua largura de banda de conexão ou esgotando os recursos do sistema do alvo. As inundações que saturam a largura de banda dependem da capacidade do invasor de gerar um fluxo avassalador de pacotes. Uma maneira comum de conseguir isso hoje é por meio de negação de serviço distribuída, empregando um botnet . Em casos como MyDoom e Slowloris, as ferramentas são incorporadas ao malware e lançam seus ataques sem o conhecimento do proprietário do sistema. Stacheldraht é um exemplo clássico de ferramenta DDoS. Ele usa uma estrutura em camadas onde o invasor usa um programa cliente para se conectar a manipuladores que são sistemas comprometidos que emitem comandos para os agentes zumbis que, por sua vez, facilitam o ataque DDoS. Os agentes são comprometidos por meio de manipuladores pelo invasor usando rotinas automatizadas para explorar vulnerabilidades em programas que aceitam conexões remotas em execução nos hosts remotos visados. Cada manipulador pode controlar até mil agentes. [35] Em outros casos, uma máquina pode se tornar parte de um ataque DDoS com o consentimento do proprietário, por exemplo, na Operação Payback organizada pelo grupo Anonymous . O Low Orbit Ion Cannon tem sido normalmente usado dessa forma. Junto com o High Orbit Ion Cannon, uma grande variedade de ferramentas DDoS estão disponíveis hoje, incluindo versões pagas e gratuitas, com diferentes recursos disponíveis. Existe um mercado clandestino para eles em fóruns relacionados a hackers e canais de IRC. Os ataques da camada de aplicativos empregam explorações causadoras de DoS e podem fazer com que o software em execução no servidor preencha o espaço em disco ou consuma toda a memória disponível ou tempo de CPU . Os ataques podem usar tipos de pacotes específicos ou solicitações de conexão para saturar recursos finitos, por exemplo, ocupando o número máximo de conexões abertas ou preenchendo o espaço em disco da vítima com logs. Um invasor com acesso em nível de shell ao computador da vítima pode desacelerá-lo até que se torne inutilizável ou travá-lo usando uma bomba fork . Outro tipo de ataque DoS no nível do aplicativo é o XDoS (ou XML DoS), que pode ser controlado por modernos firewalls de aplicativos da Web (WAFs). Outro alvo dos ataques DDoS pode ser gerar custos adicionais para o operador do aplicativo, quando este utiliza recursos baseados em computação em nuvem . Neste caso, normalmente os recursos usados pelo aplicativo estão vinculados a um nível de qualidade de serviço (QoS) necessário (por exemplo, as respostas devem ser inferiores a 200 ms) e esta regra está geralmente ligada a um software automatizado (por exemplo, Amazon CloudWatch [36] ) para levantar mais recursos virtuais do provedor para atender aos níveis de QoS definidos para o aumento de solicitações. O principal incentivo por trás de tais ataques pode ser levar o proprietário do aplicativo a aumentar os níveis de elasticidade para lidar com o aumento do tráfego do aplicativo, a fim de causar perdas financeiras ou forçá-los a se tornarem menos competitivos. Um ataque de banana é outro tipo particular de DoS. Envolve o redirecionamento das mensagens enviadas do cliente de volta para o cliente, evitando o acesso externo, bem como inundando o cliente com os pacotes enviados. Um ataque LAND é desse tipo. Zumbis pulsantes são computadores comprometidos que são direcionados para iniciar inundações intermitentes e de curta duração nos sites das vítimas com a intenção de apenas desacelerá-los, em vez de travá-los. Esse tipo de ataque, conhecido como degradação de serviço , pode ser mais difícil de detectar e pode interromper e dificultar a conexão com sites por períodos prolongados de tempo, podendo causar mais interrupção geral do que um ataque de negação de serviço. [37] [38] A exposição de ataques de degradação de serviço é complicada ainda mais pela questão de discernir se o servidor está realmente sendo atacado ou se está enfrentando cargas de tráfego legítimo mais altas do que o normal. [39] Malware pode carregar mecanismos de ataque DDoS; um dos exemplos mais conhecidos disso foi o MyDoom . Seu mecanismo DoS foi acionado em uma data e hora específicas. Esse tipo de DDoS envolveu a codificação do endereço IP de destino antes de liberar o malware e nenhuma interação adicional foi necessária para iniciar o ataque. Um sistema também pode ser comprometido por um trojan contendo um agente zumbi . Os invasores também podem invadir sistemas usando ferramentas automatizadas que exploram falhas em programas que detectam conexões de hosts remotos. Este cenário diz respeito principalmente a sistemas que atuam como servidores na web. Stacheldraht é um exemplo clássico de ferramenta DDoS. Ele usa uma estrutura em camadas onde o invasor usa um programa cliente para se conectar aos manipuladores, que são sistemas comprometidos que emitem comandos para os agentes zumbis, o que, por sua vez, facilita o ataque DDoS. Os agentes são comprometidos por meio dos manipuladores pelo invasor. Cada manipulador pode controlar até mil agentes. [35]Em alguns casos, uma máquina pode se tornar parte de um ataque DDoS com o consentimento do proprietário, por exemplo, na Operação Payback , organizada pelo grupo Anonymous . Esses ataques podem usar diferentes tipos de pacotes de internet, como: TCP, UDP, ICMP etc. Essas coleções de sistemas comprometidos são conhecidas como botnets . Ferramentas DDoS como Stacheldraht ainda usam métodos clássicos de ataque DoS centrados em spoofing e amplificação de IP, como ataques smurf e ataques fraggle (tipos de ataques de consumo de largura de banda). As inundações SYN (um ataque de falta de recursos) também podem ser usadas. As ferramentas mais recentes podem usar servidores DNS para fins de DoS. Ao contrário do mecanismo DDoS do MyDoom, os botnets podem ser voltados contra qualquer endereço IP. Os script kiddies os usam para negar a disponibilidade de sites conhecidos para usuários legítimos. [40] Atacantes mais sofisticados usam ferramentas DDoS para fins de extorsão - inclusive contra seus rivais de negócios. [41] Ataques simples, como inundações de SYN, podem aparecer com uma ampla gama de endereços IP de origem, dando a aparência de um DoS bem distribuído. Esses ataques de inundação não exigem a conclusão do handshake TCP de três vias e tentam esgotar a fila SYN de destino ou a largura de banda do servidor. Como os endereços IP de origem podem ser facilmente falsificados, um ataque pode vir de um conjunto limitado de origens ou até mesmo se originar de um único host. Aprimoramentos de pilha, como cookies SYN, podem ser uma mitigação eficaz contra a saturação da fila SYN, mas não resolvem o esgotamento da largura de banda. Se um invasor montar um ataque de um único host, ele será classificado como um ataque DoS. Na verdade, qualquer ataque contra a disponibilidade seria classificado como um ataque de negação de serviço. Por outro lado, se um invasor usa muitos sistemas para lançar ataques simultaneamente contra um host remoto, isso seria classificado como um ataque DDoS. Foi relatado que há novos ataques de dispositivos da Internet das coisas (IoT) que estão envolvidos em ataques de negação de serviço. [42] Em um ataque observado, o pico foi de cerca de 20.000 solicitações por segundo, provenientes de cerca de 900 câmeras CCTV. [43] O GCHQ do Reino Unido possui ferramentas criadas para DDoS, chamadas PREDATORS FACE e ROLLING THUNDER. [44] Em 2015, botnets DDoS como o DD4BC ganharam destaque, tendo como alvo as instituições financeiras. [45] Os extorsionistas cibernéticos normalmente começam com um ataque de baixo nível e um aviso de que um ataque maior será realizado se o resgate não for pago em Bitcoin . [46] Especialistas em segurança recomendam sites direcionados para não pagar o resgate. Os invasores tendem a entrar em um esquema de extorsão estendido, uma vez que reconhecem que o alvo está pronto para pagar. [47] Descoberto pela primeira vez em 2009, o ataque HTTP POST lento envia um cabeçalho HTTP POST completo e legítimo, que inclui um campo 'Comprimento do conteúdo' para especificar o tamanho do corpo da mensagem a seguir. No entanto, o invasor passa a enviar o corpo da mensagem real a uma taxa extremamente lenta (por exemplo, 1 byte / 110 segundos). Como toda a mensagem está correta e completa, o servidor de destino tentará obedecer ao campo 'Comprimento do conteúdo' do cabeçalho e aguardará que todo o corpo da mensagem seja transmitido, o que pode levar muito tempo. O invasor estabelece centenas ou mesmo milhares de tais conexões até que todos os recursos para as conexões de entrada no servidor (a vítima) sejam usados, tornando assim quaisquer outras conexões (incluindo legítimas) impossíveis até que todos os dados tenham sido enviados. É notável que, ao contrário de muitos outros ataques DDoS ou DDoS, que tentam subjugar o servidor sobrecarregando sua rede ou CPU,um ataque HTTP lento POST visa orecursos lógicos da vítima, o que significa que a vítima ainda teria largura de banda de rede e capacidade de processamento suficientes para operar. [48] Além disso, combinado com o fato de que o Apache irá, por padrão, aceitar solicitações de até 2 GB de tamanho, este ataque pode ser particularmente poderoso. Ataques HTTP POST lentos são difíceis de diferenciar de conexões legítimas e, portanto, podem contornar alguns sistemas de proteção. O OWASP , um projeto de segurança de aplicativos web de código aberto , lançou uma ferramenta para testar a segurança de servidores contra esse tipo de ataque. [49] Um ataque Challenge Collapsar (CC) é um ataque em que as solicitações HTTP padrão são enviadas para um servidor web alvo com frequência, em que os Uniform Resource Identifiers (URIs) requerem complicados algoritmos demorados ou operações de banco de dados, a fim de exaurir os recursos do servidor da web de destino. [50] [51] [52] Em 2004, um hacker chinês apelidado de KiKi inventou uma ferramenta de hacking para enviar esses tipos de solicitações para atacar um firewall NSFOCUS chamado "Collapsar" e, portanto, a ferramenta de hacking era conhecida como "Challenge Collapsar", ou CC para abreviar. Consequentemente, este tipo de ataque recebeu o nome de "ataque CC". [53] Um ataque smurf depende de dispositivos de rede mal configurados que permitem que os pacotes sejam enviados a todos os hosts de computador em uma rede específica por meio do endereço de broadcast da rede, em vez de uma máquina específica. O invasor enviará um grande número de pacotes IP com o endereço de origem falsificado para parecer ser o endereço da vítima. A maioria dos dispositivos em uma rede responderá, por padrão, enviando uma resposta ao endereço IP de origem. Se o número de máquinas na rede que recebem e respondem a esses pacotes for muito grande, o computador da vítima será inundado com tráfego. Isso sobrecarrega o computador da vítima e pode até mesmo torná-lo inutilizável durante esse ataque. [54] A inundação de ping é baseada no envio à vítima de um número esmagador de pacotes de ping , geralmente usando o comando "ping" de hosts do tipo Unix (o sinalizador -t em sistemas Windows é muito menos capaz de sobrecarregar um alvo, também o -l (tamanho ) o sinalizador não permite tamanho de pacote enviado maior que 65500 no Windows). É muito simples de iniciar, sendo o principal requisito o acesso a uma largura de banda maior do que a da vítima. O ping da morte é baseado no envio à vítima de um pacote de ping malformado, o que levará a uma falha do sistema em um sistema vulnerável. O ataque BlackNurse é um exemplo de ataque aproveitando os pacotes ICMP da Porta de Destino Inacessível necessários. Um Nuke é um ataque de negação de serviço antiquado contra redes de computadores que consiste em pacotes ICMP fragmentados ou inválidos enviados ao destino, obtido usando um utilitário ping modificado para enviar repetidamente esses dados corrompidos, tornando o computador afetado mais lento até que ele chega a uma parada completa. [55] Um exemplo específico de um ataque nuclear que ganhou algum destaque é o WinNuke , que explorou a vulnerabilidade no manipulador NetBIOS no Windows 95 . Uma sequência de dados fora de banda foi enviada para a porta TCP 139 da máquina da vítima, fazendo com que ela travasse e exibisse uma Tela Azul da Morte . [55] Os invasores descobriram uma maneira de explorar uma série de bugs em servidores ponto a ponto para iniciar ataques DDoS. O mais agressivo desses ataques DDoS ponto a ponto explora o DC ++ . Com o ponto a ponto, não há botnet e o invasor não precisa se comunicar com os clientes que subverte. Em vez disso, o invasor atua como um "mestre das marionetes", instruindo os clientes de grandes hubs de compartilhamento de arquivos ponto a ponto a se desconectarem de sua rede ponto a ponto e se conectarem ao site da vítima. [56] [57] [58] A negação de serviço permanente (PDoS), também conhecida vagamente como phlashing, [59] é um ataque que danifica tanto um sistema que requer a substituição ou reinstalação do hardware. [60] Ao contrário do ataque de negação de serviço distribuído, um ataque PDoS explora falhas de segurança que permitem a administração remota nas interfaces de gerenciamento do hardware da vítima, como roteadores, impressoras ou outro hardware de rede . O invasor usa essas vulnerabilidades para substituir o firmware de um dispositivo por uma imagem de firmware modificada, corrompida ou com defeito - um processo que, quando feito de forma legítima, é conhecido como flashing. Este, portanto, " tijolos"o dispositivo, tornando-o inutilizável para sua finalidade original até que possa ser reparado ou substituído. O PDoS é um ataque direcionado a hardware puro que pode ser muito mais rápido e requer menos recursos do que usar um botnet ou um root / vserver em um ataque DDoS. Por causa desses recursos e do potencial e alta probabilidade de exploits de segurança em Network Enabled Embedded Devices (NEEDs), essa técnica chamou a atenção de várias comunidades de hackers. BrickerBot , uma peça de malware que visava dispositivos IoT, usava ataques PDoS para desabilitar seus alvos. [61] PhlashDance é uma ferramenta criada por Rich Smith (um funcionário do Laboratório de Segurança de Sistemas da Hewlett-Packard) usada para detectar e demonstrar vulnerabilidades de PDoS na Conferência de Segurança Aplicada EUSecWest 2008 em Londres. [62] Um ataque distribuído de negação de serviço pode envolver o envio de solicitações falsas de algum tipo para um grande número de computadores que responderão às solicitações. Usando falsificação de endereço de protocolo da Internet , o endereço de origem é definido como aquele da vítima alvo, o que significa que todas as respostas irão (e inundarão) o alvo. (Essa forma de ataque refletido às vezes é chamada de "DRDOS". [63] ) Ataques ICMP Echo Request ( ataque Smurf ) podem ser considerados uma forma de ataque refletido, já que os hosts de inundação enviam Echo Requests aos endereços de broadcast de redes mal configuradas, induzindo assim os hosts a enviar pacotes Echo Reply à vítima. Alguns primeiros programas DDoS implementaram uma forma distribuída desse ataque. Ataques de amplificação são usados para aumentar a largura de banda enviada à vítima. Isso normalmente é feito por meio de servidores DNS publicamente acessíveis que são usados para causar congestionamento no sistema de destino usando o tráfego de resposta DNS. Muitos serviços podem ser explorados para atuar como refletores, alguns mais difíceis de bloquear do que outros. [64] US-CERT observou que diferentes serviços podem resultar em diferentes fatores de amplificação, conforme tabulado abaixo: [65] Ataques de amplificação baseados em UDP
Os ataques de amplificação de DNS envolvem um novo mecanismo que aumentou o efeito de amplificação, usando uma lista muito maior de servidores DNS do que a vista anteriormente. O processo normalmente envolve um invasor enviando uma solicitação de pesquisa de nome DNS para um servidor DNS público, falsificando o endereço IP de origem da vítima visada. O invasor tenta solicitar o máximo de informações possível, ampliando assim a resposta DNS que é enviada à vítima visada. Como o tamanho da solicitação é significativamente menor do que a resposta, o invasor pode facilmente aumentar a quantidade de tráfego direcionado ao alvo. [70] [71] SNMP e NTP também podem ser explorados como refletores em um ataque de amplificação. Um exemplo de ataque DDoS amplificado por meio do Network Time Protocol (NTP) é por meio de um comando denominado monlist, que envia os detalhes dos últimos 600 hosts que solicitaram o horário do servidor NTP de volta ao solicitante. Uma pequena solicitação para este servidor de horário pode ser enviada usando um endereço IP de origem falsificado de alguma vítima, o que resulta em uma resposta 556,9 vezes o tamanho da solicitação enviada à vítima. Isso se amplifica ao usar botnets que enviam solicitações com a mesma origem de IP falsificado, o que resultará no envio de uma grande quantidade de dados para a vítima. É muito difícil se defender contra esses tipos de ataques porque os dados de resposta vêm de servidores legítimos. Essas solicitações de ataque também são enviadas por meio de UDP, que não requer uma conexão com o servidor. Isso significa que o IP de origem não é verificado quando uma solicitação é recebida pelo servidor. Para conscientizar sobre essas vulnerabilidades, foram iniciadas campanhas dedicadas a encontrar vetores de amplificação que levaram as pessoas a consertar seus resolvers ou a desligá-los completamente. Esse ataque funciona usando um worm para infectar centenas de milhares de dispositivos IoT na Internet. O worm se propaga por meio de redes e sistemas, assumindo o controle de dispositivos IoT mal protegidos, como termostatos, relógios habilitados para Wi-Fi e máquinas de lavar. [72] Quando o dispositivo se torna escravo, geralmente o proprietário ou usuário não terá indicação imediata. O próprio dispositivo IoT não é o alvo direto do ataque, ele é usado como parte de um ataque maior. [73] Esses dispositivos recentemente escravizados são chamados de escravos ou bots. Assim que o hacker adquirir o número desejado de bots, ele instrui os bots a tentar entrar em contato com um ISP. Em outubro de 2016, um botnet Mirai atacou Dyn, que é o ISP de sites como Twitter, Netflix, etc. [72]Assim que isso ocorreu, esses sites ficaram inacessíveis por várias horas. Esse tipo de ataque não é fisicamente prejudicial, mas certamente será caro para qualquer grande empresa de Internet que seja atacada. O ataque RUDY tem como alvo aplicativos da web por privação de sessões disponíveis no servidor da web. Muito parecido com o Slowloris , o RUDY mantém as sessões interrompidas usando transmissões POST sem fim e enviando um valor de cabeçalho de comprimento de conteúdo arbitrariamente grande. Manipulando o tamanho máximo do segmento e o reconhecimento seletivo (SACK), ele pode ser usado por um par remoto para causar uma negação de serviço por um estouro de inteiro no kernel do Linux, causando até mesmo um pânico no Kernel . [74] Jonathan Looney descobriu CVE - 2019-11477 , CVE- 2019-11478 , CVE- 2019-11479 em 17 de junho de 2019. [75] O ataque de megera é um ataque de negação de serviço ao Protocolo de Controle de Transmissão, em que o invasor emprega técnicas man-in-the-middle . Ele usa rajadas de tráfego sincronizadas curtas para interromper as conexões TCP no mesmo link, explorando uma fraqueza no mecanismo de tempo limite de retransmissão do TCP. [76] Um ataque de leitura lenta envia solicitações legítimas da camada de aplicativo, mas lê as respostas muito lentamente, tentando esgotar o pool de conexão do servidor. Isso é obtido anunciando um número muito pequeno para o tamanho da janela de recepção TCP e, ao mesmo tempo, esvaziando o buffer de recepção TCP dos clientes lentamente, o que causa uma taxa de fluxo de dados muito baixa. Um ataque DDoS sofisticado de baixa largura de banda é uma forma de DoS que usa menos tráfego e aumenta sua eficácia, visando um ponto fraco no design do sistema da vítima, ou seja, o invasor envia tráfego consistindo de solicitações complicadas ao sistema. [77] Essencialmente, um ataque DDoS sofisticado tem um custo menor devido ao uso de menos tráfego, é menor em tamanho tornando mais difícil de ser identificado e tem a capacidade de afetar sistemas protegidos por mecanismos de controle de fluxo. [77] [78] Uma inundação de SYN ocorre quando um host envia uma inundação de pacotes TCP / SYN, geralmente com um endereço de remetente forjado. Cada um desses pacotes é tratado como uma solicitação de conexão, fazendo com que o servidor gere uma conexão semiaberta , enviando de volta um pacote TCP / SYN-ACK (reconhecimento) e esperando por um pacote em resposta do endereço do remetente (resposta a pacote ACK). No entanto, como o endereço do remetente é forjado, a resposta nunca chega. Essas conexões semiabertas saturam o número de conexões disponíveis que o servidor pode fazer, impedindo-o de responder a solicitações legítimas até o fim do ataque. [79] Um ataque em forma de lágrima envolve o envio de fragmentos de IP mutilados com cargas úteis superdimensionadas e sobrepostas para a máquina de destino. Isso pode travar vários sistemas operacionais por causa de um bug em seu código de remontagem de fragmentação de TCP / IP . [80] Os sistemas operacionais Windows 3.1x , Windows 95 e Windows NT , bem como as versões do Linux anteriores às versões 2.0.32 e 2.1.63 são vulneráveis a este ataque. (Embora em setembro de 2009, uma vulnerabilidade no Windows Vista tenha sido chamada de "ataque em forma de lágrima", esse SMB2 tinha como alvo uma camada mais alta do que os pacotes TCP usados por aquele teardrop). [81] [82] Um dos campos em um cabeçalho IP é o campo “deslocamento do fragmento”, indicando a posição inicial, ou deslocamento, dos dados contidos em um pacote fragmentado em relação aos dados no pacote original. Se a soma do deslocamento e do tamanho de um pacote fragmentado diferir daquela do próximo pacote fragmentado, os pacotes se sobrepõem. Quando isso acontece, um servidor vulnerável a ataques de lágrima é incapaz de remontar os pacotes - resultando em uma condição de negação de serviço. A voz sobre IP tornou a originação abusiva de um grande número de chamadas telefônicas de voz barata e prontamente automatizada, ao mesmo tempo que permite que as origens das chamadas sejam deturpadas por meio de falsificação de identificador de chamadas . De acordo com o Federal Bureau of Investigation dos EUA , a negação de serviço de telefonia (TDoS) apareceu como parte de vários esquemas fraudulentos:
A negação de serviço de telefonia pode existir mesmo sem telefonia pela Internet . No escândalo de congestionamento de telefones nas eleições de New Hampshire para o Senado de 2002 , os operadores de telemarketing foram usados para inundar os oponentes políticos com chamadas falsas para congestionamentos de telefones no dia da eleição. A publicação generalizada de um número também pode inundá-lo com ligações suficientes para torná-lo inutilizável, como aconteceu por acidente em 1981 com vários + 1- código de área -867-5309 assinantes inundados por centenas de ligações mal discadas diariamente em resposta à música 867-5309 / Jenny . O TDoS difere de outro assédio telefônico (como trotes e ligações obscenas ) pelo número de ligações originadas; ao ocupar linhas continuamente com chamadas automáticas repetidas, a vítima é impedida de fazer ou receber chamadas telefônicas de rotina e de emergência. Explorações relacionadas incluem ataques de inundação de SMS e fax preto ou transmissão de loop de fax. São necessários mais recursos do roteador para descartar um pacote com valor TTL de 1 ou menos do que para encaminhar um pacote com valor TTL mais alto. Quando um pacote é descartado devido à expiração do TTL, a CPU do roteador deve gerar e enviar uma resposta de tempo excedido ICMP . A geração de muitas dessas respostas pode sobrecarregar a CPU do roteador. [85] Este ataque usa uma vulnerabilidade existente no protocolo Universal Plug and Play (UPnP) para contornar uma quantidade considerável dos métodos de defesa atuais e inundar a rede e os servidores de um alvo. O ataque é baseado em uma técnica de amplificação DNS, mas o mecanismo de ataque é um roteador UPnP que encaminha solicitações de uma fonte externa para outra, desconsiderando as regras de comportamento UPnP. Usar o roteador UPnP retorna os dados em uma porta UDP inesperada de um endereço IP falso, tornando mais difícil tomar uma ação simples para desligar a inundação de tráfego. De acordo com os pesquisadores da Imperva , a maneira mais eficaz de impedir esse ataque é as empresas travarem os roteadores UPnP. [86] [87] Em 2014, foi descoberto que o SSDP estava sendo usado em ataques DDoS conhecidos como " ataque de reflexão SSDP com amplificação". Muitos dispositivos, incluindo alguns roteadores residenciais, têm uma vulnerabilidade no software UPnP que permite a um invasor obter respostas da porta número 1900 para um endereço de destino de sua escolha. Com um botnet de milhares de dispositivos, os atacantes podem gerar taxas de pacotes suficientes e ocupar largura de banda para saturar links, causando a negação de serviços. [88] [89] [90] A empresa de rede Cloudflare descreveu este ataque como o "Protocolo DDoS estupidamente simples". [91] ARP spoofing é um ataque DoS comum que envolve uma vulnerabilidade no protocolo ARP que permite a um invasor associar seu endereço MAC ao endereço IP de outro computador ou gateway (como um roteador), fazendo com que o tráfego destinado ao IP autêntico original seja restabelecido - direcionado para o atacante, causando negação de serviço. Respostas defensivas a ataques de negação de serviço normalmente envolvem o uso de uma combinação de detecção de ataques, classificação de tráfego e ferramentas de resposta, com o objetivo de bloquear o tráfego que eles identificam como ilegítimo e permitir o tráfego que eles identificam como legítimo. [92] Uma lista de ferramentas de prevenção e resposta é fornecida abaixo: O hardware de front-end do aplicativo é um hardware inteligente colocado na rede antes que o tráfego alcance os servidores. Ele pode ser usado em redes em conjunto com roteadores e switches. O hardware de front-end do aplicativo analisa os pacotes de dados conforme eles entram no sistema e os identifica como prioritários, regulares ou perigosos. Existem mais de 25 fornecedores de gerenciamento de largura de banda . Abordagens para ataques DDoS contra aplicativos baseados em nuvem podem ser baseadas em uma análise da camada de aplicativo, indicando se o tráfego em massa de entrada é legítimo e, portanto, desencadeando decisões de elasticidade sem as implicações econômicas de um ataque DDoS. [93] Essas abordagens baseiam-se principalmente em um caminho de valor identificado dentro do aplicativo e monitoram o andamento das solicitações nesse caminho, por meio de marcadores chamados Key Completion Indicators. [94] Em essência, essas técnicas são métodos estatísticos de avaliação do comportamento das solicitações recebidas para detectar se algo incomum ou anormal está acontecendo. Uma analogia é com uma loja de departamentos tradicional onde os clientes gastam, em média, uma porcentagem conhecida de seu tempo em diferentes atividades, como pegar itens e examiná-los, colocá-los de volta, encher uma cesta, esperar para pagar, pagar , e indo embora. Essas atividades de alto nível correspondem aos indicadores-chave de conclusão em um serviço ou site e, uma vez que o comportamento normal é determinado, o comportamento anormal pode ser identificado. Se uma multidão de clientes chegasse à loja e passasse o tempo todo pegando e devolvendo os itens, mas nunca fizesse nenhuma compra, isso poderia ser sinalizado como um comportamento incomum. A loja de departamentos pode tentar se ajustar aos períodos de alta atividade, trazendo uma reserva de funcionários a curto prazo. Mas se fizesse isso rotineiramente, se uma multidão começasse a aparecer, mas nunca comprasse nada, isso poderia arruinar a loja com os custos extras dos funcionários. Logo a loja identificaria a atividade da turba e reduziria o número de funcionários, reconhecendo que a turba não oferece lucro e não deve ser servida. Embora isso possa dificultar o atendimento de clientes legítimos durante a presença da multidão, salva a loja da ruína total. No caso de serviços em nuvem elástica, em que uma carga de trabalho adicional enorme e anormal pode incorrer em cobranças significativas do provedor de serviço em nuvem, essa técnica pode ser usada para reduzir ou mesmo interromper a expansão da disponibilidade do servidor para proteger contra perdas econômicas. Com o roteamento de buraco negro , todo o tráfego para o DNS ou endereço IP atacado é enviado para um "buraco negro" (interface nula ou um servidor inexistente). Para ser mais eficiente e evitar afetar a conectividade da rede, ele pode ser gerenciado pelo ISP. [95] Um sumidouro de DNS roteia o tráfego para um endereço IP válido que analisa o tráfego e rejeita pacotes inválidos. Sinkholing não é eficiente para os ataques mais graves. Os sistemas de prevenção de intrusão (IPS) são eficazes se os ataques tiverem assinaturas associadas a eles. No entanto, a tendência entre os ataques é ter conteúdo legítimo, mas com más intenções. Os sistemas de prevenção de intrusão que trabalham no reconhecimento de conteúdo não podem bloquear ataques DoS baseados em comportamento. [29] Um IPS baseado em ASIC pode detectar e bloquear ataques de negação de serviço porque eles têm o poder de processamento e a granularidade para analisar os ataques e agir como um disjuntor de forma automatizada. [29] Um IPS baseado em taxa (RBIPS) deve analisar o tráfego granularmente e monitorar continuamente o padrão de tráfego e determinar se há anomalia de tráfego. Ele deve permitir que o tráfego legítimo flua enquanto bloqueia o tráfego de ataque DoS. [96] Mais focado no problema do que o IPS, um sistema de defesa DoS (DDS) pode bloquear ataques DoS baseados em conexão e aqueles com conteúdo legítimo, mas com más intenções. Um DDS também pode lidar com ataques de protocolo (como lágrima e ping da morte) e ataques baseados em taxa (como inundações de ICMP e inundações de SYN). O DDS tem um sistema desenvolvido especificamente que pode facilmente identificar e obstruir ataques de negação de serviço em uma velocidade maior do que um sistema baseado em software. [97] No caso de um ataque simples, um firewall pode ter uma regra simples adicionada para negar todo o tráfego de entrada dos invasores, com base em protocolos, portas ou endereços IP de origem. Ataques mais complexos, no entanto, serão difíceis de bloquear com regras simples: por exemplo, se houver um ataque em andamento na porta 80 (serviço da web), não é possível descartar todo o tráfego de entrada nesta porta porque isso impedirá que o servidor servindo tráfego legítimo. [98] Além disso, os firewalls podem estar muito profundos na hierarquia da rede, com os roteadores sendo adversamente afetados antes que o tráfego chegue ao firewall. Além disso, muitas ferramentas de segurança ainda não suportam IPv6 ou podem não estar configuradas corretamente, então os firewalls podem ser contornados durante os ataques. [99] Semelhante aos switches, os roteadores têm alguma limitação de taxa e capacidade de ACL . Eles também são definidos manualmente. A maioria dos roteadores pode ser facilmente sobrecarregada por um ataque DoS. O Cisco IOS possui recursos opcionais que podem reduzir o impacto de inundações. [100] A maioria dos switches tem algum limite de taxa e capacidade ACL . Alguns switches fornecem limitação de taxa automática e / ou de todo o sistema , modelagem de tráfego , vinculação atrasada ( splicing TCP ), inspeção profunda de pacotes e filtragem de Bogon (filtragem de IP falsa) para detectar e corrigir ataques DoS por meio de filtragem automática de taxa e failover e balanceamento de link WAN . [29] [ citação necessária ] Esses esquemas funcionarão desde que os ataques DoS possam ser evitados com o uso deles. Por exemplo, a inundação de SYN pode ser evitada usando vinculação retardada ou splicing TCP. DoS baseado em conteúdo similar pode ser evitado usando a inspeção profunda de pacotes. Ataques originados de endereços escuros ou indo para endereços escuros podem ser evitados usando a filtragem bogon . A filtragem automática de taxa pode funcionar, desde que os limites de taxa definidos tenham sido definidos corretamente. O failover de link WAN funcionará desde que ambos os links tenham mecanismo de prevenção DoS / DDoS. [29] [ citação necessária ] Todo o tráfego passa por uma "central de limpeza" ou uma "central de depuração" por meio de vários métodos, como proxies, túneis, conexões cruzadas digitais ou mesmo circuitos diretos, que separam o tráfego "ruim" (DDoS e também outros ataques comuns de Internet) e apenas envia tráfego bom para o servidor. O provedor precisa de conectividade central com a Internet para gerenciar esse tipo de serviço, a menos que estejam localizados nas mesmas instalações que a "central de limpeza" ou a "central de depuração". Os ataques DDoS podem sobrecarregar qualquer tipo de firewall de hardware, e a passagem de tráfego malicioso por redes grandes e maduras torna-se cada vez mais eficaz e economicamente sustentável contra DDoS. [101] Por exemplo, em um ataque de reflexão SSDP; uma atenuação importante é bloquear o tráfego UDP de entrada na porta 1900 no firewall. [102] Uma negação de serviço não intencional pode ocorrer quando um sistema acaba sendo negado, não devido a um ataque deliberado por um único indivíduo ou grupo de indivíduos, mas simplesmente devido a um aumento repentino e enorme na popularidade. Isso pode acontecer quando um site extremamente popular posta um link proeminente para um segundo site menos preparado, por exemplo, como parte de uma notícia. O resultado é que uma proporção significativa dos usuários regulares do site principal - potencialmente centenas de milhares de pessoas - clica nesse link no espaço de algumas horas, tendo o mesmo efeito no site de destino que um ataque DDoS. Um VIPDoS é o mesmo, mas especificamente quando o link foi postado por uma celebridade. Quando Michael Jackson morreu em 2009, sites como o Google e o Twitter ficaram mais lentos ou até mesmo travaram. [103] Os servidores de muitos sites pensaram que as solicitações eram de um vírus ou spyware tentando causar um ataque de negação de serviço, avisando aos usuários que suas consultas pareciam "solicitações automatizadas de um vírus de computador ou aplicativo de spyware". [104] Sites de notícias e sites de links - sites cuja função principal é fornecer links para conteúdo interessante em outros lugares da Internet - são os mais prováveis de causar esse fenômeno. O exemplo canônico é o efeito Slashdot ao receber tráfego do Slashdot . É também conhecido como "o abraço da morte no Reddit " e "o efeito Digg ". Os roteadores também são conhecidos por criar ataques DoS não intencionais, já que os roteadores D-Link e Netgear sobrecarregaram os servidores NTP inundando os servidores NTP sem respeitar as restrições de tipos de cliente ou limitações geográficas. Negações de serviço não intencionais semelhantes também podem ocorrer por meio de outras mídias, por exemplo, quando um URL é mencionado na televisão. Se um servidor estiver sendo indexado pelo Google ou outro mecanismo de pesquisa durante os períodos de pico de atividade, ou não tiver muita largura de banda disponível durante a indexação, ele também pode sofrer os efeitos de um ataque DoS. [29] [ falha na verificação ] [ citação necessária ] Ações legais foram tomadas em pelo menos um desses casos. Em 2006, a Universal Tube & Rollform Equipment Corporation processou o YouTube : um grande número de possíveis usuários do YouTube.com acidentalmente digitou o URL da empresa de tubos, utube.com. Como resultado, a empresa de tubos acabou tendo que gastar grandes quantias de dinheiro para atualizar sua largura de banda. [105] A empresa parece ter tirado vantagem da situação, com utube.com agora contendo anúncios para receita de publicidade. Em março de 2014, após o desaparecimento do voo 370 da Malaysia Airlines , a DigitalGlobe lançou um serviço de crowdsourcing no qual os usuários podiam ajudar a procurar o jato desaparecido em imagens de satélite. A resposta sobrecarregou os servidores da empresa. [106] Uma negação de serviço não intencional também pode resultar de um evento pré-agendado criado pelo próprio site, como foi o caso do Censo na Austrália em 2016. [107] Isso pode ser causado quando um servidor fornece algum serviço em um momento específico. Este pode ser o site de uma universidade definindo as notas a serem disponibilizadas, resultando em muito mais solicitações de login naquele momento do que em qualquer outro. Na segurança da rede de computadores, o retroespalhamento é um efeito colateral de um ataque de negação de serviço falsificado. Nesse tipo de ataque, o invasor falsifica (ou falsifica) o endereço de origem nos pacotes IP enviados à vítima. Em geral, a máquina da vítima não consegue distinguir entre os pacotes falsificados e os pacotes legítimos, portanto, a vítima responde aos pacotes falsificados como faria normalmente. Esses pacotes de resposta são conhecidos como retroespalhamento. [108] Se o invasor estiver falsificando endereços de origem aleatoriamente, os pacotes de resposta de retroespalhamento da vítima serão enviados de volta para destinos aleatórios. Este efeito pode ser usado por telescópios de rede como evidência indireta de tais ataques. O termo "análise de retroespalhamento" refere-se à observação de pacotes de retroespalhamento que chegam a uma parte estatisticamente significativa do espaço de endereço IP para determinar as características dos ataques DoS e das vítimas. Muitas jurisdições têm leis segundo as quais os ataques de negação de serviço são ilegais.
Em 7 de janeiro de 2013, o Anonymous postou uma petição no site whitehouse.gov pedindo que o DDoS fosse reconhecido como uma forma legal de protesto semelhante aos protestos do Occupy , alegando que a semelhança de propósito de ambos é a mesma. [117]
Quais ações podem ser usadas para determinar se um host foi comprometido e está inundando o tráfego para a rede?Quais ações podem ser usadas para determinar se um host foi comprometido e está inundando o tráfego para a rede? Desligue o hots da rede. O que é um exemplo de implementação de segurança física? Exigir que os funcionários usem um cartão de chave (card key) ao entrar em uma área segura.
Que técnica de segurança pode fornecer acesso seguro a um servidor localizado em um pequeno escritório?O acesso seguro a um ambiente eletrônico deve ser feito por meio de firewall, que é um sistema que reconhece o nome e a senha do usuário, elimina os vírus que podem estar na máquina cliente e no servidor e impede o envio de informações sem criptografia.
Qual dos itens abaixo é um exemplo de engenharia social?Phishing. O Phishing é o ataque da engenharia social mais comum da atualidade, em suas dezenas de versões. O crime consiste na obtenção de dados de uma pessoa ou organização através de técnicas de comunicação que resultam na persuasão da vítima.
|