Afinal o que é 'Ataque DDoS' utilizado pela Anoymous contra a Anatel? |
DDoS, sigla para Distributed Denial of Service, é um tipo de ataque DoS de grandes dimensões, ou seja, que utiliza até milhares de computadores para atacar uma determinada máquina, distribuindo a ação entre elas. Trata-se de uma forma que aparece constantemente no noticiário, já que é o tipo de ataque mais comum na internet.
Ataques DDoS são executados há tempos e já prejudicaram empresas bastante conhecidas. Historicamente, servidores da CNN, Amazon, Yahoo, Microsoft e eBay já foram "vítimas". Em dezembro de 2010, por exemplo, os sites da Visa, Mastercard e Paypal sofreram ataques DDoS de um grupo defendendo a não existência de "censura" na internet. Em fevereiro de 2012, ataques foram executados contra sites de bancos brasileiros por motivos semelhantes.
Para que ataques do tipo DDoS sejam bem sucedidos, é necessário que se tenha um número grande de computadores para que estes façam parte do "exército" que participará da ação. Uma das melhores formas encontradas para se ter tantas máquinas foi a de inserir programas de ataque DDoS em vírus ou em softwares maliciosos.
Inicialmente, organizadores de ataques DDoS tentavam "escravizar" computadores que agiam como servidores na internet. Entretanto, com o aumento constante na velocidade de acesso à internet por causa das conexões banda larga, passou-se a existir interesse pelos computadores dos usuários domésticos, já que estes representam um número extremamente grande de máquinas e, muitas vezes, podem ser "escravizados" mais facilmente.
Para atingir a massa, isto é, a enorme quantidade de computadores conectados à internet, malwares (ou seja, vírus, cavalos-de-troia, etc) foram e são criados com a intenção de disseminar pequenos programas para ataques DoS. Assim, quando um vírus com tal poder contamina um computador, este fica disponível para fazer parte de um ataque DoS, sendo que o usuário dificilmente fica sabendo que sua máquina está sendo utilizada para tais fins. Como a quantidade de computadores que participa do ataque é grande, é uma tarefa bastante complicada descobrir exatamente qual é a máquina principal do ataque.
Uma forma de ataque bastante comum faz uso de botnets, em poucas palavras, um tipo de rede formada por computadores infectados que pode ser controlada remotamente pelo atacante. Assim, os computadores que a compõem passam a trabalhar da já mencionada maneira "escravizada".
Nesta forma de ataque, é comum o uso de computadores domésticos, já que estes são maioria e, muitas vezes, não são devidamente protegidos. Assim, é mais fácil infectá-los com um malware que possui instruções para fazer com que a máquina participe de um ataque DDoS.
Quando o computador passa a fazer parte de uma botnet, esta máquina pode ser chamado de "zumbi". Após a contaminação, os "zumbis" podem entrar em contato com máquinas "mestres", que por sua vez recebem orientações (quando, em qual site/computador, tipo de ataque, entre outros) de um computador "atacante" ou "líder".
Um computador "mestre" pode ter sob sua responsabilidade até milhares de computadores. Repare que, nestes casos, as tarefas de ataque DoS são distribuídas a um "exército" de máquinas "escravizadas", fazendo jus ao nome Distributed Denial of Service (Negação de Serviço Distribuído). A imagem abaixo ilustra a hierarquia de botnets em ataques DDoS:
Uma vez infectados, os computadores passam a executar as ordens que recebem, como enviar constantemente pacotes de dados a um determinado servidor até que este não consiga mais responder a tantas requisições.
Para tornar o ataque ainda mais eficiente, várias técnicas podem ser utilizadas. Em uma delas, o IP de origem dos pacotes utilizados é alterado para uma sequência falsa, dificultando a descoberta da origem da ação.
É possível combater esse tipo de ataque?
Como servidores podem ter estrutura e recursos diferentes, não há fórmula mágica que funcione em todas as implementações que consiga evitar ou combater ataques de negação de serviço. Cada caso é um caso, sem contar que, em boa parte das vezes, é difícil identificar o problema. Mas é possível contar com algumas armas para combatê-lo, embora nenhuma delas garanta 100% de proteção.
Pode-se, por exemplo, utilizar filtros que identificam e bloqueiam pacotes com endereços IP falsos (anti-spoofing). Outra ideia consiste em utilizar ferramentas que ajudam a identificar os ataques, inclusive IDS (Intrusion Detection System - Sistema de Identificação de Intrusos) e tomar alguma decisão com base nas informações obtidas, como aumentar a capacidade de processamento (se possível) ou limitar a largura de banda de acordo com o tipo de pacote de dados. Dependendo da aplicação, pode-se ainda utilizar recursos capazes de identificar uma solicitação legítima (por meio de autenticação, por exemplo) e atender apenas a ela.
Como cada caso é um caso, o ideal é que haja um plano para combater o problema. Em atividades de grande porte, como serviços de hospedagem de sites, por exemplo, uma equipe de segurança bem preparada, que conheça bem a estrutura da aplicação e conte com ferramentas computacionais adequadas pode ser bastante eficiente no combate aos ataques. Fonte: Infowester