Um ataque DDoS é uma forma de ciberataque em que os infratores procuram interromper o serviço ou fazer “crashar” um website, rede ou outro serviço online, sobrecarregando-o com um elevado volume de pedidos falsos ou de lixo.
Há várias motivações para um ataque de DDoS. Para os cibercriminosos, estas incluem normalmente ganhar dinheiro ao vender ataques DDoS como um serviço, chantagear potenciais alvos para pagar um resgate, hacktivismo e ganhar uma vantagem competitiva.
Sabe-se que grupos sofisticados de ameaças utilizam os ataques DDoS principalmente como parte ou como uma distração de outras atividades mais severas, como a ciberespionagem e a cibersabotagem.
Os infratores de ataques DDoS utilizam redes de dispositivos distribuídos e comprometidos para perturbar os sistemas, visando um ou mais dos componentes necessários para estabelecer uma ligação (ver o modelo OSI) a um recurso de rede.
Os ataques volumétricos são um dos mais antigos tipos de ataques DDoS. Utilizam grandes volumes de tráfego para preencher a capacidade de largura de banda entre a rede da vítima e a Internet ou a capacidade dentro da rede da vítima. Os maiores ataques volumétricos são (atualmente) medidos em Terabits por segundo (Tbps) equivalentes a cerca de 9.000 ligações médias à Internet. Por exemplo, durante um ataque de inundação do User Datagram Protocol (UDP), os atacantes sobrecarregam o servidor remoto visado, solicitando informações de uma aplicação que escuta numa porta específica. O servidor verifica, e/ou responde a todos esses pedidos, acabando por ficar sem largura de banda e tornando-se inalcançável.
Ataques de protocolo. Os ataques ao protocolo utilizam indevidamente a conceção do protocolo de comunicação subjacente (modelos OSI das camadas 3 e 4) para esgotar os recursos do sistema visado. Um exemplo de um ataque de protocolo é o SYN flood, que envia um grande número de pedidos específicos ao servidor visado, mas deixa as respostas a esses pedidos sem qualquer outra ação, mantendo o "aperto de mão de três vias" incompleto. Quando o número de ligações inacabadas esgota a capacidade do servidor, este torna-se inalcançável para ligações legítimas. Os ataques de protocolo utilizam pacotes especificamente criados para atingir os seus objetivos maliciosos e são assim medidos em pacotes por segundo (PPS). Os maiores ataques registados atingiram centenas de milhões.
Os ataques da camada de aplicação (camada 7 do modelo OSI) visam as aplicações de fachada pública através de um elevado volume de tráfego falso ou falso. Um exemplo de um ataque DDoS da camada de aplicação é um flood HTTP, que inunda um servidor web específico com pedidos HTTP GET e HTTP POST de outra forma legítimos. Embora o servidor possa ter largura de banda suficiente, é forçado a processar um grande número de pedidos fictícios em vez dos seus equivalentes legítimos, ficando assim sem capacidade de processamento. Os ataques na camada de aplicação são medidos em dezenas de milhões de pedidos por segundo (RPS).
Como o nome sugere, a diferença está principalmente no número de máquinas atacantes. No caso do DoS, o ataque utiliza tipicamente um script ou ferramenta, tem origem num único dispositivo e visa um servidor ou endpoint específico. Em contraste, os ataques DDoS são executados por uma grande rede de dispositivos comprometidos controlados por atacantes também conhecidos como botnet e podem ser utilizados para sobrecarregar dispositivos, aplicações, websites, serviços ou mesmo redes inteiras de vítimas selecionadas.
O sinal indicador mais óbvio de um ataque DDoS é o mau desempenho ou a indisponibilidade do sistema ou serviço alvo. No caso de um website, isto pode traduzir-se em longos tempos de carga ou inacessibilidade para pessoas dentro e fora da empresa. Há também serviços publicamente disponíveis que monitorizam ataques DDoS, tais como downforeveryoneorjustme.com ou downdetector.com
Um ataque DDoS também pode ser identificado através da monitorização e análise do tráfego de rede que identifica pedidos falsos ou de lixo que sobrecarregam um ou mais sistemas da empresa. Em alguns casos, uma mensagem de extorsão pode também apontar para um possível ou contínuo ataque DDoS, exigindo um resgate por abandonar a sua empresa da lista de alvos futuros ou por cessar um ataque em curso.
4. As empresas não têm de ser o alvo principal para sentirem o impacto de um ataque DDoS, especialmente se este perturbar as partes vitais da infraestrutura da Internet, tais como os ISP locais ou regionais. Em 2016, os criminosos inundaram os servidores do principal fornecedor de DNS Dyn. Outros grandes serviços online ficaram indisponíveis devido a este ataque DDoS, incluindo Twitter, Reddit, Netflix e Spotify.
5. Alguns agentes cibercriminosos ameaçam utilizar as suas redes de bots para um ataque DDoS contra uma empresa específica, a menos que seja feito um pagamento. Estes ataques são chamados ataques de resgate DDoS e não exigem que o atacante tenha acesso às redes dos seus alvos.
6. Desde 2020, os ataques DDoS contra websites das vítimas tornaram-se também parte do esquema de "tripla extorsão" utilizado por gangues de alto nível de resgates, adicionando DDoS para além de roubar e encriptar os dados dos alvos.
7. Existem serviços de DDoS para aluguer na dark web que permitem mesmo aos atores inexperientes que têm dinheiro e motivação, tais como ganhar uma vantagem sobre um concorrente para organizar um ataque DDoS.
Os ataques DDoS podem ser difíceis de mitigar para empresas que não têm os recursos certos, tais como hardware ou largura de banda suficiente. Contudo, há coisas que até as pequenas e médias empresas podem fazer para aumentar a sua proteção:
Obtenha proteção eficaz com as capacidades para mitigar os riscos relacionados com os ataques DDoS. As soluções de segurança ESET de várias camadas de terminais utilizam tecnologia sofisticada de proteção contra ataques de rede com filtragem avançada e inspeção de pacotes para evitar ruturas.
