Denial of Service ou DoS é um termo usado para descrever um ataque digital em uma máquina ou rede com o objetivo de torná-la inutilizável. Em muitos casos, isso significa inundar o destinatário com tantas solicitações ou tanto tráfego que causa um mau funcionamento. Às vezes, também pode significar o envio de uma quantidade menor de informações específicas e prejudiciais para desencadear uma falha, por exemplo.
Para explicar o processo com mais detalhes – uma máquina conectada a uma rede pode lidar com (ou seja, enviar e receber) uma certa quantidade de tráfego e ainda funcionar. A quantidade de tráfego depende de vários fatores, como o tamanho das solicitações feitas e as informações transferidas. Assim como a qualidade e a força da conectividade da rede.
Quando muitas solicitações são feitas, a rede terá dificuldade para acompanhar. Em alguns casos, as solicitações serão descartadas ou não serão respondidas. Se o excesso for muito alto, a rede ou a máquina receptora podem sofrer problemas, incluindo erros e desligamentos.
Tipos de Ataques
Existem muitos tipos diferentes de ataques DoS, com diferentes objetivos e metodologias de ataque. Alguns dos mais populares incluem:
Inundação SYN
Uma inundação SYN (pronunciado “pecado”) é um ataque em que o invasor envia solicitações de conexão rápidas e repetidas sem finalizá-las. Isso força o lado receptor a usar seus recursos para abrir e manter novas conexões, esperando que elas sejam resolvidas. Isso não acontece. Isso consome recursos e diminui a velocidade ou torna o sistema afetado completamente inutilizável.
Pense nisso como responder a DMs – se um vendedor recebe uma centena de solicitações sobre um carro que deseja vender. Eles têm que gastar tempo e esforço para responder a todos eles. Se 99 deles deixarem o vendedor lendo, o único comprador genuíno pode não receber uma resposta ou recebê-la tarde demais.
O ataque de inundação SYN recebe seu nome do pacote usado no ataque. SYN é o nome do pacote usado para estabelecer uma conexão por meio do Transmission Control Protocol ou TCP que é a base da maior parte do tráfego da Internet.
Ataque de estouro de buffer
Um estouro de buffer ocorre quando um programa que usa qualquer memória que um sistema tenha disponível excede sua alocação de memória. Portanto, se estiver inundado com tanta informação, a memória alocada não é suficiente para lidar com isso. Portanto, ele também sobrescreve os locais de memória adjacentes.
Existem diferentes tipos de ataques de estouro de buffer. Por exemplo, enviar um pequeno pedaço de informação para induzir o sistema a criar um pequeno buffer antes de inundá-lo com um pedaço maior de informação. Ou aqueles que enviam um tipo de entrada malformado. Qualquer forma disso pode causar erros, desligamentos e resultados incorretos em qualquer que seja o programa afetado.
Ping da Morte
O ataque PoD relativamente bem-humorado envia um ping malformado ou malicioso para um computador para causar mau funcionamento. Os pacotes de ping normais têm cerca de 56-84 bytes no máximo. No entanto, essa não é a limitação. Eles podem ter até 65k bytes.
Alguns sistemas e máquinas não são projetados para lidar com esse tipo de pacote, o que leva ao chamado estouro de buffer que geralmente faz com que o sistema falhe. Também pode ser usado como ferramenta para injetar código malicioso, em alguns casos em que o desligamento não é o objetivo.
Ataques DoS Distribuídos
Os ataques DDoS são uma forma mais avançada de ataque DoS – eles compreendem vários sistemas que trabalham juntos para executar um ataque DoS coordenado em um único alvo. Em vez de um ataque de 1 para 1, esta é uma situação de muitos para 1.
De um modo geral, os ataques DDoS têm maior probabilidade de sucesso, pois podem gerar mais tráfego, são mais difíceis de evitar e prevenir e podem ser facilmente disfarçados como tráfego “normal”. Os ataques DDoS podem até ser feitos por proxy. Suponha que um terceiro consiga infectar uma máquina de usuários “inocentes” com malware. Nesse caso, eles podem usar a máquina desse usuário para contribuir com o ataque.
Defesa contra ataques (D)DoS
Os ataques DoS e DDoS são métodos relativamente simples. Eles não exigem um grau excepcionalmente alto de conhecimento técnico ou habilidade do lado do invasor. Quando bem-sucedidos, eles podem impactar massivamente sites e sistemas importantes. No entanto, até mesmo sites governamentais foram derrubados dessa maneira.
Existem várias maneiras diferentes de se defender contra ataques DoS. A maioria deles funciona de maneira semelhante e requer monitoramento do tráfego de entrada. Os ataques SYN podem ser bloqueados bloqueando o processamento de uma combinação específica de pacotes que não ocorre nessa combinação no tráfego regular. Uma vez identificado como DoS ou DDoS, o blackholing é usado para proteger um sistema. Infelizmente, todo o tráfego de entrada (incluindo pedidos genuínos) é desviado e descartado para preservar a integridade do sistema.
Você pode configurar roteadores e firewalls para filtrar protocolos conhecidos e endereços IP problemáticos usados em ataques anteriores. Eles não ajudarão contra ataques mais sofisticados e bem distribuídos. Mas ainda são ferramentas essenciais para impedir ataques simples.
Embora não seja tecnicamente uma defesa, garantir que haja bastante largura de banda sobressalente e dispositivos de rede redundantes no sistema também pode ser eficaz para impedir o sucesso de ataques DoS. Eles dependem da sobrecarga da rede. Uma rede mais forte é mais difícil de sobrecarregar. Uma auto-estrada de 8 pistas requer mais carros para bloquear do que uma auto-estrada de 2 pistas, algo assim.
Uma boa parte dos ataques DoS pode ser evitada aplicando patches ao software, incluindo seus sistemas operacionais. Muitos dos problemas explorados são bugs no software que os desenvolvedores corrigem ou pelo menos oferecem mitigações. Alguns tipos de ataque, como DDoS, não podem ser corrigidos por patches.
Conclusão
Efetivamente, qualquer rede que se defenda com sucesso contra ataques DoS e DDoS fará isso combinando um conjunto de diferentes medidas preventivas e contramedidas que funcionam bem juntas. À medida que os ataques e os atacantes evoluem e se tornam mais sofisticados, os mecanismos de defesa também evoluem.
A configuração, configuração e manutenção corretas podem proteger um sistema relativamente bem. Mas mesmo o melhor sistema provavelmente eliminará algum tráfego legítimo e deixará passar algumas solicitações ilegítimas, pois não há uma solução perfeita.