p Diagrama de um ataque de negação de serviço. Crédito:Everaldo Coelho e YellowIcon, CC BY
p "Um terço da Internet está sob ataque. Milhões de endereços de rede foram submetidos a ataques distribuídos de negação de serviço (DDoS) durante um período de dois anos, "relata Warren Froelich no site da UC San Diego News Center. Um DDoS é um tipo de ataque de negação de serviço (DoS) no qual o invasor realiza um ataque usando várias fontes distribuídas pela rede. p Mas o jornalista tem justificativa para sua reação alarmista? Sim e não. Se um terço da Internet estava sob ataque, então, um em cada três smartphones não funcionaria, e um em cada três computadores ficaria offline. Quando olhamos ao redor, podemos ver que obviamente não é o caso, e se agora dependemos tanto de nossos telefones e da Wikipedia, é porque passamos a ver a Internet como uma rede que funciona bem.
p Ainda, o fenômeno DDoS é real. Ataques recentes atestam isso, como o ataque do botnet Mirai ao host francês OVH e ao host americano DynDNS. Os sites pertencentes aos clientes desses servidores ficaram indisponíveis por várias horas.
p O que o estudo de origem realmente analisou foi a aparência de endereços IP nos rastros de ataques DDoS. Durante um período de dois anos, os autores encontraram os endereços de dois milhões de vítimas diferentes, dos 6 milhões de servidores listados na web.
p
Engarrafamentos na autoestrada da informação
p Unidades de dados, pacotes chamados, circular na rede da Internet. Quando todos esses pacotes querem ir para o mesmo lugar ou tomar o mesmo caminho, congestionamento ocorre, assim como os engarrafamentos que ocorrem no final de um dia de trabalho.
p Deve-se notar que na maioria dos casos é muito difícil, quase impossível, para diferenciar entre tráfego normal e tráfego de ataque de negação de serviço. O tráfego gerado pelos fenômenos "flash crowd" e "slashdot effect" é idêntico ao tráfego testemunhado durante este tipo de ataque.
p Contudo, esta analogia só vai até certo ponto, uma vez que os pacotes são frequentemente organizados em fluxos, e o congestionamento na rede pode levar à destruição desses pacotes, ou a criação de novos pacotes, levando a ainda mais congestionamento. Portanto, é muito mais difícil remediar um ataque de negação de serviço na web do que um congestionamento.
p Esse tipo de ataque satura o link de rede que conecta o servidor à Internet. O invasor faz isso enviando um grande número de pacotes para o servidor de destino. Esses pacotes podem ser enviados diretamente se o invasor controlar um grande número de máquinas, um botnet.
p Os invasores também usam os mecanismos de amplificação integrados em certos protocolos de rede, como o sistema de nomenclatura (DNS) e a sincronização do relógio (NTP). Esses protocolos são assimétricos. Os pedidos são pequenos, mas as respostas podem ser enormes.
p Neste tipo de ataque, um invasor contata os amplificadores DNS ou NTP fingindo ser um servidor que foi atacado. Em seguida, ele recebe muitas respostas não solicitadas. Portanto, mesmo com uma conectividade limitada, o invasor pode criar um nível significativo de tráfego e saturar a rede.
p Existem também "serviços" que oferecem a possibilidade de comprar ataques de negação de serviço com diferentes níveis de intensidade e duração, conforme mostrado em uma investigação que Brian Krebs conduziu depois que seu próprio site foi atacado.
p
Quais são as consequências?
p Para usuários da Internet, a principal consequência é que o site que pretendem visitar não está disponível.
p Para a vítima do ataque, a principal conseqüência é uma perda de receita, que pode assumir várias formas. Para um site comercial, por exemplo, essa perda se deve à falta de pedidos durante o período. Para outros sites, pode resultar da perda de receita de publicidade. Este tipo de ataque permite que um invasor use anúncios no lugar de outra parte, permitindo que o invasor aproveite a receita gerada ao exibi-los.
p Tem havido alguns, ataques institucionais raros. O exemplo mais documentado é o ataque contra a Estônia em 2007, que foi atribuído ao governo russo, embora isso tenha sido impossível de provar.
p O ganho financeiro direto para o invasor é raro, Contudo, e está ligado aos pedidos de resgate em troca do fim do ataque.
p
Isto é sério?
p O impacto de um ataque em um serviço depende da popularidade do serviço. Os usuários, portanto, enfrentam um ataque de baixo nível como um incômodo se precisarem usar o serviço em questão.
p Apenas certas ocorrências em grande escala, o mais recente é o botnet Mirai, têm impactos percebidos por um público muito maior.
p Muitos servidores e serviços estão localizados em ambientes privados, e, portanto, não são acessíveis de fora. Servidores corporativos, por exemplo, raramente são afetados por esse tipo de ataque. O fator chave para a vulnerabilidade, portanto, reside na terceirização de serviços de TI, o que pode criar uma dependência da rede.
p Finalmente, um ataque com um impacto muito alto, em primeiro lugar, ser detectado imediatamente (e, portanto, muitas vezes bloqueado dentro de algumas horas), e no final seria limitado por suas próprias atividades (já que a comunicação do invasor também seria bloqueada), conforme mostrado pelo exemplo antigo do worm SQL Slammer.
p Em última análise, o estudo mostra que os fenômenos de ataques de negação de serviço por saturação são recorrentes nos últimos dois anos. Esta notícia é significativa o suficiente para demonstrar que esse fenômeno deve ser abordado. No entanto, esta não é uma ocorrência nova.
p Outros fenômenos, como manipulação de roteamento, têm as mesmas consequências para os usuários, como quando a Pakistan Telecom sequestrou endereços do YouTube.
p
Boa higiene de TI
p Infelizmente, não existe uma forma infalível de proteção contra esses ataques. No fim, tudo se resume a uma questão de custo do serviço e a quantidade de recursos disponibilizados para usuários legítimos.
p Os "grandes" provedores de serviços têm tantos recursos que é difícil para um invasor pegá-los desprevenidos.
p Ainda, este não é o fim da Internet, longe disso. Contudo, este fenômeno deve ser limitado. Para usuários, boas práticas de higiene de TI devem ser seguidas para limitar os riscos de seu computador ser comprometido, e, portanto, costumava participar desse tipo de ataque.
p Também é importante revisar que tipo de proteção os fornecedores de serviços terceirizados estabeleceram, para garantir que eles têm capacidade e meios de proteção suficientes. p Este artigo foi publicado originalmente em The Conversation. Leia o artigo original.