Um ataque DDOS – distributed denial-of-service, visa interromper o funcionamento diário do servidor, serviço ou rede de uma vítima, o floodando com tráfego excessivo. Ao sobrecarregar o alvo com uma enxurrada de solicitações, o ataque pode tornar o servidor ou a rede inoperantes – resultando em perdas financeiras significativas ou até mesmo ferramentas de segurança inoperantes.

Tipos de ataque DDoS

Podemos dividir o campo de ataque DDoS em três tipos principais de ataque, dependendo dos métodos usados.

Ataques baseados em volume

Um servidor, seja virtual ou fisicamente hospedado, exige energia para identificar, recuperar e enviar o(s) arquivo(s) solicitado(s) de volta ao dispositivo solicitante. A quantidade de dados que pode fluir de e para um servidor de uma vez é chamada de largura de banda — pense nisso como um tubo pelo qual os dados podem se mover.

Ataques volumétricos aproveitam explicitamente essa limitação inerente de recursos, bloqueando o tubo com enormes quantidades de tráfego falso. O tamanho de um ataque baseado em volume é medido em bits por segundo (bps), e esse volume é a diferença fundamental entre ataques de negação de serviço e DDoS.

Em quase todos os ataques DDoS, essa distribuição vem de muitos dispositivos diferentes controlados pelo invasor (botnets).

Ataques ICMP e UDP são alguns exemplos de vetores de ataque volumétrico.

• Quando um servidor recebe um pacote UDP, ele primeiro precisa verificar se há algum programa escutando na porta especificada.
• Se nenhum programa estiver disponível, o servidor envia de volta um erro, notificando o remetente de que o destino está inacessível.

Observe a quantidade razoável de trabalho exigida do servidor: floods UDP aproveitam isso e enviam grandes quantidades de pacotes UDP ilegítimos que forçam o servidor a verificar as portas correspondentes para serviços que não estão sendo executados lá: dependendo do número de pacotes, isso corta a capacidade do servidor de lidar com tráfego genuíno.

Confira também: 10 Tipos de Ataque DNS com Orientações para Cibersegurança

Ataques de Protocolo ou Camada de Rede

Eles aproveitam os processos subjacentes que ditam como os servidores lidam e respondem às solicitações. Por exemplo, o protocolo TCP/IP exige o TCP three-way handshake. Antes que qualquer dado possa ser transferido, um pacote SYN é enviado para solicitar uma conexão; o servidor então responde com um pacote SYN/ACK, confirmando que o recebeu.

No final, o cliente responde com um pacote ACK – e então os dados podem começar a ser trocados. Cada conexão TCP deve aderir a esse processo.

Um ataque em nível de protocolo aproveita esses protocolos estruturados e definidos:

• Floods SYN fazem isso explicitamente floodando um servidor de destino com pacotes SYN de endereços IP falsos.
• O servidor responde a cada pacote SYN com SYN-ACK e aguarda o ACK final.
• Mas isso nunca acontece, deixando o servidor com inúmeras conexões semiabertas que rapidamente preenchem seus recursos.

É por isso que é comum ver sobreposição entre tipos específicos de DDoS em ataques do mundo real: um único flood de handshake não derruba um servidor, mas depende de um grande volume de handshakes sendo iniciados.

Ataques à Camada de Aplicação

Ataques à camada de aplicação focam na lacuna entre páginas da web e seu servidor subjacente.

Como exemplo, vamos explorar a renegociação SSL.

• Quando você navega em um site, seu navegador e o servidor estabelecem uma conexão segura por meio de um handshake SSL, no qual eles trocam chaves de criptografia e verificam a identidade de um dispositivo.
• Continue navegando e, eventualmente, a sessão expira e a renegociação SSL ocorre.
• Isso atualiza as chaves de criptografia ou reautentica conforme necessário sem iniciar uma nova sessão, parecendo perfeito.

Em um ataque de renegociação SSL, o invasor intercepta a mensagem SYN inicial do cliente e a envia repetidamente para o servidor, fazendo o servidor acreditar que está continuamente renegociando com o cliente original.

Um dos ataques mais conhecidos à camada de aplicação é o SlowLoris. Ele explora o protocolo HTTPS e o fato de que um servidor pode manter múltiplas conexões simultâneas com um único dispositivo. O ataque consiste em manter essas conexões abertas pelo maior tempo possível, consumindo gradualmente os recursos do servidor até que ele não consiga mais processar novas requisições, causando indisponibilidade.

Como Prevenir Ataques DDoS com Ferramentas de Proteção

O ataque DDoS pode causar grandes prejuízos, mas o uso de ferramentas adequadas pode minimizar seus impactos, distribuindo a carga do ataque e filtrando tráfego malicioso. Confira algumas das principais soluções:

1. Balanceamento de Carga via DNS

O balanceamento de carga baseado em DNS distribui o tráfego entre vários servidores, retornando diferentes endereços IP em resposta às consultas DNS. Uma técnica comum é o round-robin DNS, que alterna sistematicamente entre IPs disponíveis para equilibrar a carga.

2. Anycast

O protocolo Anycast direciona o tráfego para múltiplos servidores ou data centers, com base na proximidade e disponibilidade. Durante um ataque, esse método dispersa o tráfego malicioso, dificultando a sobrecarga de um único servidor.

3. Caching

O caching reduz a carga dos servidores ao armazenar e fornecer conteúdos frequentemente acessados a partir de redes intermediárias, como CDNs (Content Delivery Networks). Isso acelera as respostas para usuários legítimos e minimiza os impactos de picos de tráfego durante ataques DDoS.

4. Firewall de Aplicação Web (WAF)

O WAF age como uma barreira entre a rede interna e a internet pública, monitorando e bloqueando tráfego suspeito antes que ele chegue aos servidores. Ele identifica padrões anômalos, como ataques de bots ou inundações de tráfego, garantindo que usuários legítimos continuem acessando a aplicação.

Melhores Práticas para Prevenir Ataques DDoS

1. Definir Limites Inteligentes de Taxa

Limites de taxa bem configurados ajudam a conter ataques sem prejudicar picos legítimos de tráfego. Bloquear tráfego UDP desnecessário e aplicar restrições a pacotes ICMP reduz a exposição a ataques comuns, como UDP floods e ICMP floods.

2. Implementar Regras Adequadas no WAF

O WAF pode bloquear tráfego malicioso com regras como:

• Geolocalização: bloqueia acessos de países suspeitos.
• Listas de IPs: nega conexões de IPs maliciosos conhecidos.
• Análise Comportamental: detecta desvios suspeitos no tráfego e age automaticamente.

3. Criar um Plano de Resiliência DDoS

Uma estratégia eficaz inclui:

• Inventariar ativos: mapear domínios, aplicações e configurações da rede.
• Analisar a superfície de ataque: identificar vulnerabilidades.
• Avaliar riscos: priorizar medidas com base na probabilidade e impacto de possíveis ataques.

Com essas práticas, sua organização estará mais preparada para mitigar e se recuperar de ataques DDoS. 

Veja mais aqui: 10 Métodos para se Proteger Contra Ataques DDoS

Fortaleça sua Defesa Cibernética e Proteja sua Infraestrutura

Agora que você compreende os riscos e as melhores práticas para mitigar um ataque DDoS, é hora de dar o próximo passo e se especializar na proteção contra ameaças cibernéticas. No curso Defesa Cibernética Analista SOC na Prática, você aprenderá na prática como monitorar, detectar e responder a ataques em tempo real.

Garanta sua vaga agora e esteja à frente das ameaças!
Acesse o curso aqui

CONFIRA TAMBÉM:

• 
  31.03.2025 | Carreiras em Cibersegurança

  Adware Blocker: Por Que Você Precisa de Um?

  Como o nome sugere, o adware blocker ou bloqueadores de anúncios são para bloquear anúncios — você não precisa ser um Sherlock Holmes para descobrir isso. No entanto, faríamos uma injustiça aos bloqueadores de anúncios se […]

• 
  26.03.2025 | Carreiras em Cibersegurança

  Google Hacking: O Que É e Como Funciona Essa Técnica

  Google Hacking, também conhecido como Google Dorking, é uma técnica que utiliza operadores de pesquisa avançados para descobrir informações na internet que podem não estar prontamente disponíveis por meio de consultas de pesquisa padrão. Essa estratégia […]