Leia sobre dicas e funcionalidades da GoCache CDN para melhorar a seguranca do seu site, loja virtual ou app mobile.

O que é NTP Amplification?

O ataque de amplificação NTP é um ataque DDoS baseado em reflexão amplificada que tira vantagem de um servidor Network Time Protocol (NTP) abertamente acessível que é executado em uma porta de tráfego UDP. A porta de tráfego UDP é de vulnerabilidade simples em um dispositivo, pois não vai através do processo de “handshake”, onde um remetente tem que estabelecer uma conexão com o destinatário antes de poder enviar dados, isso permite que os invasores alimentem o dispositivo alvo com quaisquer dados que desejarem, sem o conhecimento prévio do destinatário.

Em um ataque DDoS de amplificação NTP, o invasor canaliza uma quantidade amplificada de tráfego para um dispositivo ou servidor, tornando o computador alvo e suas estruturas envolvidas inacessíveis ao tráfego válido, o único objetivo de um ataque DoS.

Quais são as técnicas mais usadas em ataques de amplificação NTP: 

  • Explorando o comando NTP Monlist: Os invasores utilizam o comando NTP “monlist”, um recurso projetado para fornecer informações sobre clientes NTP recentes. Ao enviar uma solicitação maliciosa a um servidor NTP com um endereço IP de origem falsificado, os invasores enganam o servidor para que envie uma resposta grande ao endereço IP de destino, amplificando o tráfego do ataque.
  • Falsificação de endereços IP de origem: Para mascarar a sua identidade e dificultar o rastreio da origem do ataque, os atacantes falsificam frequentemente os endereços IP de origem dos seus pedidos. Isto acrescenta outra camada de complexidade ao processo de mitigação, tornando mais difícil diferenciar o tráfego legítimo do tráfego de ataque.
  • Utilizando botnets: Os ataques de amplificação NTP frequentemente dependem de botnets, redes de dispositivos comprometidos controlados por invasores. Ao orquestrar um grande número destes dispositivos, os atacantes podem amplificar a escala e o impacto dos seus ataques, dificultando a defesa e a mitigação do ataque de tráfego.

Como posso prevenir ataques de amplificação NTP: 

  • Desative a lista monástica:  Monlist é uma vulnerabilidade que pode ser encontrada em um servidor NTP e que os hackers usam para conduzir ataques de amplificação NTP. Portanto, desabilitar o comando monlist é uma forma de interromper um ataque de amplificação NTP. Servidores NTP que usam software 4.2.7 e superior têm esse comando desabilitado automaticamente, para que não sejam tão vulneráveis a ataques de amplificação NTP.
  • Verificação do IP de origem: Como os invasores usam endereços IP falsificados para sobrecarregar suas vítimas com tráfego UDP, rejeitar o tráfego interno de IPs falsificados é uma forma de impedi-los de fazer isso.
  • Use ferramentas de proteção contra DDoS. Embora os ataques de amplificação NTP sejam um tipo de ataque DDoS, o uso de ferramentas ou software de proteção DDoS padrão ainda pode ajudar a evitá-los. Por exemplo, na GoCache você pode contar com segurança anti DDoS, permitindo mais segurança para suas aplicações. 

Referências: 

  • https://medium.com/@michealtremendous/ntp-amplification-attack-what-is-it-and-how-to-mitigate-92392bd73bb4
  • https://prophaze.com/learning/what-are-ntp-amplification-attacks/
  • https://nordvpn.com/pt-br/cybersecurity/glossary/ntp-amplification-attack/

Ataques DDoS Zero Day: O que é, e como funciona?

“Zero-day” é um termo amplo que descreve vulnerabilidades de segurança recentemente descobertas que os hackers podem usar para explorar sistemas. O termo “zero day” refere-se ao fato de que o fornecedor ou desenvolvedor acabou de tomar conhecimento da falha – o que significa que eles têm “zero day” para corrigi-la. Um ataque de zero day ocorre quando os hackers exploram a falha antes que os desenvolvedores tenham a chance de resolvê-la.

E como funcionam os ataques de Zero Day:

Embora os desenvolvedores de software verifiquem constantemente se há falhas em seus produtos e forneçam atualizações de software, muitos aplicativos são lançados com vulnerabilidades que, quando encontradas, podem ser exploradas por invasores para roubar dados ou dinheiro, causar interrupções nos negócios ou lançar ataques mais sofisticados e devastadores. Antes que uma vulnerabilidade seja descoberta por um fornecedor de software, os invasores podem passar dias ou meses aproveitando essa fraqueza para seu próprio benefício. Hackers maliciosos podem até vender informações ou funcionalidades sobre sistemas vulneráveis ​​de zero day na dark web para outros cibercriminosos.

Os ataques de zero day podem tirar vantagem de muitos tipos de vulnerabilidades, incluindo buffer overflows, algoritmos quebrados, redirecionamentos de URL, injeção de SQL e problemas de segurança de senha. Com uma exploração de zero day, os agentes de ameaças podem acessar uma máquina para roubar dinheiro ou dados confidenciais, interromper operações ou sequestrar a máquina como parte de uma botnet projetada para lançar ataques distribuídos de negação de serviço (DDoS).

Como um ataque DDoS baseado em vulnerabilidades de zero day explora pontos fracos que são desconhecidos para um fabricante de software e seus clientes, é muito difícil defendê-lo. A melhor estratégia é adotar uma defesa em vários níveis que proteja contra os vários métodos que os agentes mal-intencionados podem utilizar para explorar uma vulnerabilidade de zero da.. Isso inclui defesas contra ransomware, malware, vírus, botnets, ataques baseados em API, injeção de SQL e outros vetores de ataque comuns, porém perigosos.

Como podemos  reduzir a vulnerabilidade de zero day? 

Para permanecerem vigilantes contra a ameaça de ataques zero day, as empresas devem ter uma estratégia em vigor.

Mantenha-se informado

Ser proativo e manter-se informado sobre os riscos mais recentes no cenário de ameaças é um primeiro passo vital na prevenção de ataques de zero day. Isso inclui a implantação de software de segurança abrangente que bloqueará ameaças conhecidas e desconhecidas. Também inclui funcionários que praticam hábitos online seguros e definem configurações de segurança para seus navegadores e sistemas. 

Execute atualizações do sistema

Garantir que os sistemas estejam atualizados é crucial para proteger uma empresa do risco de ataques de zero day. Isso inclui ter os recursos mais recentes instalados, remover recursos desatualizados ou extintos, atualizar drivers, corrigir bugs e preencher possíveis falhas de segurança.

Use um firewall adequado para aplicações web

Os softwares e plataformas gratuitas e tradicionais não conseguem proteger eficazmente as empresas contra ameaças de zero day. Em vez disso, as empresas precisam procurar soluções que bloqueiam ataques desconhecidos de zero day. 

Use um WAF com atualizações frequentes

A utilização de WAFs para proteger aplicações web contra tráfego HTTP malicioso é uma excelente solução para aumentar as barreiras de proteção contra ataques de Zero Day. Levando em consideração que os ataques e ameaças estão em constante mudança, um WAF que permita gerar regras gerenciadas pode ajudar a proteger contra ataques e vulnerabilidade. Aqui na GoCache, nós atualizamos com regularidade nossas regras gerenciadas de WAF, permitindo que nossos clientes tenham um sistema de proteção contínuo. 

Ataques DDoS Zero Day: O que é, e como funciona?

Abaixo, citamos alguns exemplos emblemáticos de ataques zero day bem sucedidos. 

RSA: 

Outro ataque de zero day altamente público viu hackers usarem uma vulnerabilidade não corrigida no Adobe Flash Player para obter acesso à rede da empresa de segurança RSA em 2011. Os invasores enviaram e-mails anexados com planilhas do Excel, que continham um arquivo Flash incorporado que explorava o zero Vulnerabilidade diária, para funcionários da RSA. Quando os funcionários abriram a planilha, ela deu ao invasor o controle remoto do computador do usuário, que ele usou para pesquisar e roubar dados. Essas informações estavam relacionadas aos produtos de autenticação de dois fatores SecurID que os funcionários usam para acessar dados e dispositivos confidenciais.

Google Chrome

Em 2021, o Chrome do Google sofreu uma série de ameaças de zero day, fazendo com que o Chrome lançasse atualizações. A vulnerabilidade resultou de um bug no mecanismo JavaScript V8 usado no navegador da web.

Microsoft Windows

Este ataque concentrou-se em privilégios de escalonamento local, uma parte vulnerável do Microsoft Windows, e teve como alvo instituições governamentais na Europa Oriental. A exploração de zero day abusou de uma vulnerabilidade de privilégio local no Microsoft Windows para executar código arbitrário e instalar aplicativos e visualizar e alterar os dados em aplicativos comprometidos. Depois que o ataque foi identificado e relatado ao Centro de Resposta de Segurança da Microsoft, um patch foi desenvolvido e implementado.

Sony Pictures: 

Potencialmente, o ataque de zero day mais famoso derrubou a rede Sony e levou à divulgação de seus dados confidenciais em sites de compartilhamento de arquivos. O ataque, no final de 2014, resultou no vazamento de informações sobre os próximos filmes, os planos de negócios da empresa e endereços de e-mail pessoais de executivos seniores.

Apple iOS

O iOS da Apple é frequentemente descrito como a mais segura das principais plataformas de smartphones. No entanto, em 2020, foi vítima de pelo menos dois conjuntos de vulnerabilidades de zero day do iOS, incluindo um bug de zero day que permitiu que invasores comprometessem iPhones remotamente.

HTTP Flood – O que é, como funciona e como se proteger?

Um ataque DDoS de inundação (flood) HTTP pode parecer complexo, mas vamos simplificar. Trata-se de uma estratégia em que uma quantidade significativa de pedidos falsos HTTP, que são as solicitações feitas quando você acessa uma página da web, é direcionada a um servidor web ou aplicativo. Este tipo de ataque geralmente utiliza um exército de computadores comprometidos, conhecido como botnet, que foi tomado por malware, como um Cavalo de Tróia.

Quais são os sinais de um ataque DDoS de inundação de HTTP?

A essência desse ataque é fazer com que o servidor ou aplicativo-alvo aloquem o máximo possível de recursos em resposta a cada solicitação. O atacante busca sobrecarregar o servidor, “inundando-o” com um grande número de solicitações intensivas de processamento. Os ataques geralmente se utilizam de solicitações HTTP GET ou POST. Os GET são como uma multidão pedindo informações, enquanto os POST podem ser mais intensos, enviando dados para processar no servidor.

Tipos de ataques de inundação HTTP

Os ataques de inundação HTTP podem variar em suas técnicas para gerar tráfego e interromper o servidor de destino. Alguns tipos comuns incluem ataques GET, POST e Slowloris.

Ataque GET: Envolve o envio massivo de solicitações GET para um servidor web, visando sobrecarregá-lo com um grande número de solicitações de recuperação de dados. As solicitações GET geralmente não incluem dados no corpo e são usadas para obter informações do servidor, como uma página da web ou uma imagem.

Ataque POST: Semelhante ao ataque GET, mas usa solicitações POST, as quais incluem dados no corpo da solicitação enviados ao servidor para processamento. Isso pode ser mais eficaz, consumindo potencialmente mais recursos do servidor.

Ataque Slowloris: Mantém conexões HTTP abertas pelo maior tempo possível, utilizando largura de banda mínima. Isso impede que o servidor web feche a conexão e libere recursos, levando à sobrecarga do servidor.

Como se defender contra ataques de inundação HTTP(S)?

A proteção contra esses ataques pode ser complexa, mas algumas medidas podem ser tomadas. Limitar o número de conexões simultâneas permitidas à porta de serviço pode ajudar a prevenir ataques de inundação HTTP. Além disso, soluções automáticas fornecidas por parceiros podem interromper automaticamente o envio de novas conexões quando o limite máximo é atingido, oferecendo uma camada adicional de segurança. E é claro, a stack de soluções de segurança da GoCache pode te ajudar com esses desafios. 

Ao empregar as funcionalidades da GoCache, torna-se viável integrar automaticamente ferramentas de proteção contra ataques DDoS em sua aplicação. Essas ferramentas avaliam diversos padrões de acesso e efetivamente mitigam ataques de maneira automatizada. Adicionalmente, recomendamos a utilização de nossos recursos de mitigação de bots, possibilitando a seleção precisa dos bots que têm permissão ou restrição de acesso aos seus sistemas.

Outro aspecto crucial é a implementação de um sistema observável, como o Edge Insights, que possibilita a monitorização contínua e a criação de alertas personalizados. Essa abordagem proativa reforça a postura defensiva do seu sistema, assegurando agilidade na identificação e resposta a potenciais ameaças.

O que é Ping of Death (PoD)

Antes de mergulharmos nos detalhes do Ping of Death (PoD), vale ressaltar que este termo é a tradução do inglês para “Ping da Morte”. Trata-se de um tipo de ataque de negação de serviço (DoS) em que um invasor utiliza o comando ping para enviar pacotes de dados grandes ou defeituosos, visando sobrecarregar, desestabilizar ou congelar a máquina ou serviço alvo. Mesmo com sua tradução literal, o PoD representa uma ameaça real, explorando vulnerabilidades herdadas, apesar de terem sido corrigidas ao longo do tempo.

O Primeiro Ping of Death

Em 1997, uma falha na implementação do processamento de pacotes ICMP IPv4 pelos sistemas operacionais levou à descoberta do primeiro Ping of Death. Neste cenário, pacotes de ping, também conhecidos como pacotes ICMP ECHO REQUEST, originalmente projetados para terem 64 bytes de comprimento, poderiam causar falha no sistema se tivessem um comprimento superior a 65.536 bytes, o valor máximo permitido no campo de comprimento.

Como funciona o Ping of Death?

A dinâmica do Ping of Death envolve o envio de pacotes de tamanho anormal, explorando a incapacidade de sistemas mais antigos processarem pacotes maiores. Geralmente, os invasores enviam pacotes defeituosos em fragmentos, violando o protocolo da Internet. O risco de estouro de memória surge quando a máquina alvo tenta remontar os fragmentos, resultando em falhas no sistema.

Mitigando ataques DDoS com Ping of Death

Para mitigar ataques DDoS usando o Ping of Death, são recomendadas medidas como a criação de buffers de memória capazes de lidar com pacotes maiores e a adição de verificações durante o processo de remontagem para proteger contra pacotes grandes reconstruídos. Dispositivos fabricados após 1998 não são mais suscetíveis a esse tipo de ataque, mas alguns equipamentos legados ainda podem estar em risco.

Atualizações e Novas Ameaças

Além disso, foi identificado um novo tipo de ataque Ping of Death que afeta pacotes IPv6, corrigido em meados de 2013. 

Medidas de Prevenção

Para evitar uma inundação de ping, é fundamental manter o software atualizado, filtrar o tráfego bloqueando pings fragmentados, realizar avaliações de remontagem de pacotes e criar buffers de estouro para lidar com pacotes que excedam o tamanho permitido. Essas medidas são essenciais para manter a segurança e a integridade dos sistemas.

UDP Flood – O que é?

Uma inundação UDP (UDP Flood) é uma forma de ataque volumétrico de negação de serviço (DoS) em que o invasor tem como alvo e sobrecarrega portas aleatórias no host com pacotes IP contendo pacotes UDP (User Datagram Protocol).

Neste tipo de ataque, o host procura aplicações associadas a esses datagramas. Quando nenhum for encontrado, o host emite um pacote de “destino inacessível” de volta ao remetente. O efeito cumulativo de ser bombardeado por tal inundação é que o sistema fica inundado e, portanto, deixa de responder ao tráfego legítimo.

Em um ataque DDoS de Flood UDP, o invasor também pode optar por falsificar o endereço IP dos pacotes. Isso garante que os pacotes ICMP de retorno não consigam chegar ao seu host, ao mesmo tempo que mantém o ataque completamente anônimo.

Como ocorre um UPD Flood?

Ao contrário do TCP, o UDP é um protocolo sem conexão, o que significa que nenhuma conexão é estabelecida entre o cliente e o servidor antes que os pacotes sejam transmitidos. Além disso, o UDP não detecta perda de pacotes nem exibe nenhuma mensagem sobre perda de pacotes durante a comunicação cliente-servidor. Portanto, o UDP apresenta baixo consumo de recursos e alta velocidade de processamento. Tais vantagens tornam o UDP amplamente utilizado, mas também apresentam uma oportunidade para os invasores iniciarem ataques de inundação de UDP.

Os ataques de inundação UDP tradicionais são ataques de largura de banda que consomem recursos das partes atacante e atacada. Um invasor envia um grande número de pacotes UDP forjados para o dispositivo alvo por meio de uma botnet. Esses pacotes geralmente são grandes e transmitidos em alta velocidade, causando congestionamento no link ou até mesmo falha na rede. Este tipo tradicional de modo de ataque raramente é utilizado devido aos seus baixos requisitos tecnológicos.

Nos últimos anos, cada vez mais invasores usam ataques de amplificação de reflexão UDP. Os ataques de amplificação de reflexão UDP têm duas características: os ataques são baseados em UDP e o número da porta do alvo do ataque é fixo. Os princípios subjacentes aos diferentes tipos de ataques de amplificação de reflexão UDP são semelhantes. Um tipo comum é o ataque de amplificação de reflexão do Network Time Protocol (NTP), que possui dois recursos principais: reflexão e amplificação.

Como se defender contra ataques de inundação UDP?

Os incidentes de inundação UDP, embora de execução simplificada, têm o potencial de ocasionar distúrbios de considerável magnitude.

A rede  de CDN da GoCache possui uma série de mecanismos de proteção que identifica e bloqueia pacotes maliciosos, impedindo que um DDoS em camada de rede como UDP Flood, alcance os servidores de origem dos seus clientes.

Nosso serviço baseado em nuvem mantém a continuidade das operações online com níveis elevados de desempenho, mesmo em meio a ataques, mitigando potenciais perdas financeiras e preservando a integridade reputacional.

Referencias: 

https://info.support.huawei.com/info-finder/encyclopedia/en/UDP+Flood.html
https://www.netscout.com/what-is-ddos/udp-flood

O que é Slowloris?

O Slowloris representa um é um tipo de ataques DDoS que atua na camada de aplicação, empregando solicitações HTTP parciais para estabelecer conexões prolongadas entre um único computador e um servidor web específico. O propósito é manter essas conexões abertas pelo maior tempo possível, resultando na sobrecarga e desaceleração do servidor. Este tipo de ataque exige uma largura de banda mínima para iniciar, e impacta unicamente o servidor web de destino, preservando intactos outros serviços e portas. Embora seja capaz de atingir diversas plataformas de software de servidor web, o Slowloris demonstrou ser particularmente eficaz contra o Apache 1.x e 2.x.

Funcionamento do Ataque Slowloris:

O ataque Slowloris opera enviando uma quantidade substancial de solicitações HTTP incompletas ao servidor web alvo. O agente malicioso envia solicitações parciais, nunca as completando integralmente. O servidor de destino mantém essas conexões abertas, aguardando as informações ausentes.


Com o tempo, o aumento no número de conexões abertas começa a consumir os recursos do servidor, tornando-o eventualmente incapaz de processar solicitações legítimas. Isso resulta em um ataque de negação de serviço (DoS), fazendo com que o servidor fique lento, não responda ou até mesmo trave.

O ataque Slowloris é executado principalmente nas quatro etapas a seguir:

  • Múltiplas Conexões: O invasor estabelece várias conexões com o servidor de destino, enviando diversos cabeçalhos de solicitação HTTP parciais.
  • Threads do Servidor: O destino abre um thread para cada solicitação recebida, planejando fechá-la assim que a conexão for concluída. No entanto, se uma conexão demorar muito, o servidor expirará para liberar o thread para novas solicitações.
  • Manutenção de Conexões Ativas: Para evitar que o alvo expire o tempo limite das conexões, o invasor envia periodicamente cabeçalhos de solicitação parciais para manter a solicitação ativa, basicamente comunicando: “Ainda estou aqui! Eu sou apenas lento. Por favor, espere por mim!”
  • Esgotamento de Recursos: O servidor de destino não pode liberar nenhuma conexão parcial enquanto aguarda o encerramento da solicitação. Quando todos os threads disponíveis estão em uso, o servidor não consegue responder às solicitações do tráfego normal, resultando em uma negação de serviço (DoS).

A principal vantagem do ataque Slowloris reside em sua capacidade de causar danos significativos com um consumo mínimo de largura de banda.

Sinais de um Ataque DDoS Slowloris:

Conforme sugere o próprio nome, um ataque DDoS Slowloris é caracterizado por sua natureza lenta e metódica. Envolvendo o envio contínuo de solicitações HTTP parciais ao servidor web visado, sem completude, o ataque induz o servidor de destino a abrir mais conexões, presumindo que as solicitações serão concluídas.

Eventualmente, os soquetes de conexão alocados pelo servidor são consumidos um por um até serem totalmente esgotados, bloqueando assim quaisquer tentativas legítimas de conexão. Em sites de alto volume, o Slowloris pode levar mais tempo para assumir completamente o controle, mas, em última análise, resulta na negação de todas as solicitações legítimas.

Exemplos de Ataques Slowloris:

Houve vários ataques Slowloris de alto perfil ao longo dos anos. Alguns exemplos incluem:

  • Em 2009, o Irã acusou os EUA de lançar ataques Slowloris contra os websites de seu governo, causando perturbações significativas durante várias semanas.
  • Em 2011, o site da CIA teria sido alvo de um ataque Slowloris pelo grupo de hackers LulzSec, tornando o site indisponível por várias horas.
  • Em 2018, um ataque Slowloris foi lançado contra vários bancos na Rússia, tornando seus sites inacessíveis. O ataque foi atribuído ao grupo de hackers conhecido como MoneyTaker.

Diferenças entre ataques DDoS Slowloris e ataques DDoStradicionais de aplicativos:

Os ataques DDoS Slowloris diferem dos ataques DDoS tradicionais de aplicativos em alguns aspectos.

Em um ataque DDoS tradicional a aplicativos, o invasor sobrecarrega o alvo com um grande número de solicitações, normalmente provenientes de botnets. Essas solicitações, legítimas ou maliciosas, buscam sobrecarregar os recursos do alvo, como memória ou CPU.

Por outro lado, no ataque Slowloris, o invasor envia um número relativamente pequeno de solicitações, mas de forma lenta e incremental. Essas solicitações consomem os recursos do destino por um longo período. Normalmente, as solicitações são incompletas, e o invasor mantém intencionalmente a conexão aberta, enviando solicitações parciais ou atrasando o envio da próxima solicitação.

Finalmente, enquanto os ataques DDoS tradicionais a aplicativos são frequentemente detectados e mitigados por WAFs ou sistemas de prevenção de intrusões, os ataques Slowloris podem ser mais desafiadores de detectar e bloquear. O tráfego do ataque pode não parecer malicioso, e o servidor pode parecer funcionar normalmente mesmo sobrecarregado com conexões abertas.

Razões para o perigo dos ataques DDoS Slowloris:

Os ataques DDoS Slowloris são perigosos devido à sua capacidade de serem executados com relativamente poucos recursos, sendo capazes de derrubar efetivamente até mesmo servidores web robustos.

Denominados como “lentos”, esses ataques não dependem do envio de um alto volume de tráfego como outros ataques DDoS, mas sim da manutenção de um fluxo prolongado de conexões de baixo nível. Dado que os logs não podem ser gravados até que uma solicitação seja concluída, o Slowloris pode imobilizar um servidor, passando despercebido por um longo período. Isso ocorre sem levantar alertas para quem monitora ativamente os logs em busca de alterações.

Considerando que os ataques Slowloris demandam uma pequena quantidade de largura de banda e podem ser executados por uma única máquina, frequentemente são desafiadores de detectar e de se defender.

Em resumo, os ataques DDoS Slowloris são perigosos devido à sua alta eficácia na derrubada de servidores web, dificuldade de detecção e defesa, e à capacidade de serem lançados com recursos mínimos.

Medidas de proteção:

A implementação de diversas técnicas de proteção e mitigação é crucial para manter sites ou serviços seguros contra esses ataques. Algumas práticas para evitar ataques Slowloris incluem:

  • Aumento dos limites de conexão do servidor web para reduzir a vulnerabilidade.
  • Implementação de limitação de taxa com base em fatores específicos de uso.
  • Utilização de balanceadores de carga para armazenar conexões em buffer e implementar técnicas de gerenciamento.
  • Implementação de Firewalls de Aplicativos da Web (WAFs) para defesa contra ataques de aplicativos.
  • Contratação de serviços de proteção DDoS para garantir uma camada extra de segurança.
  • Monitoramento constante do tráfego de rede para identificação precoce de ataques.
  • Manutenção regular de sistemas com a aplicação de patches de segurança mais recentes.
  • Atualização frequente do software do servidor web para resolver vulnerabilidades conhecidas.

Como a GoCache pode ajudar? 

Através de nossos recursos de proteção contra DDoS, aliados com diferentes frentes de proteção web, como WAF, Rate Limit e Bot Mitigation, a GoCache consegue proteger com sucesso milhares de aplicações web contra ataques Slowloris. 

O que é modelo OSI, seus ataques, e como se proteger

OSI (Open Systems Interconnection) é um modelo de referência de como os aplicativos se comunicam em uma rede. Este modelo se concentra em fornecer um design visual de como cada camada de comunicação é construída sobre a outra, começando com o cabeamento físico, até o aplicativo que está tentando se comunicar com outros dispositivos em uma rede.

Um modelo de referência é uma estrutura conceitual para compreender relacionamentos. O objetivo do modelo de referência OSI é orientar os fornecedores e desenvolvedores de tecnologia para que os produtos de comunicação digital e programas de software que eles criam possam interoperar e promover uma estrutura clara que descreva as funções de um sistema de rede ou de telecomunicações em uso.

A maioria dos fornecedores envolvidos em telecomunicações tenta descrever os seus produtos e serviços em relação ao modelo OSI. Isto os ajuda a diferenciar entre os vários protocolos de transporte, esquemas de endereçamento e métodos de empacotamento de comunicações. E, embora seja útil para orientar a discussão e a avaliação, o modelo OSI é de natureza teórica e deve ser usado apenas como um guia geral. Isso ocorre porque poucos produtos de rede ou ferramentas padrão mantêm funções relacionadas juntas em camadas bem definidas, como é o caso do modelo OSI. O conjunto de Protocolo de Controle de Transmissão/Protocolo de Internet (TCP/IP), por exemplo, é o protocolo de rede mais amplamente usado, mas ainda não é mapeado de forma clara para o modelo OSI.

História do modelo OSI

Na década de 1970, os pesquisadores de tecnologia começaram a examinar como os sistemas de computador poderiam se comunicar melhor entre si. Nos anos seguintes, vários modelos concorrentes foram criados e publicados para a comunidade. No entanto, foi somente em 1984 que a Organização Internacional de Padronização (ISO) aproveitou o melhor dos modelos de referência de redes concorrentes para propor o OSI como uma forma de finalmente criar uma estrutura que as empresas de tecnologia em todo o mundo pudessem usar como base para seus projetos. tecnologias de rede.

Do ponto de vista da ISO, a maneira mais fácil de criar um modelo conceitual era organizar os modelos em diferentes camadas de abstração necessárias para organizar e enviar dados entre sistemas de computação. Olhar dentro de cada camada abstraída para ver os detalhes mostra uma parte desse processo de comunicação de rede. Cada camada pode ser considerada um módulo de comunicação separado ou uma peça do quebra-cabeça. Mas, para realmente atingir o objetivo de enviar dados de um dispositivo para outro, cada módulo deve funcionar em conjunto.

Como funciona o modelo OSI

Profissionais de redes de tecnologia da informação (TI) usam OSI para modelar ou conceituar como os dados são enviados ou recebidos em uma rede. Compreender isso é uma parte fundamental da maioria das certificações de redes de TI, incluindo os programas de certificação Cisco Certified Network Associate (CCNA) e CompTIA Network+. Conforme mencionado, o modelo foi projetado para dividir padrões, processos e protocolos de transmissão de dados em uma série de sete camadas, cada uma das quais é responsável por executar tarefas específicas relativas ao envio e recebimento de dados.

O conceito principal do OSI é que o processo de comunicação entre dois terminais em uma rede pode ser dividido em sete grupos distintos de funções ou camadas relacionadas. Cada usuário ou programa em comunicação está em um dispositivo que pode fornecer essas sete camadas de função.

Nesta arquitetura, cada camada atende a camada acima dela e, por sua vez, é atendida pela camada abaixo dela. Assim, em uma determinada mensagem entre usuários, haverá um fluxo de dados que desce pelas camadas do computador de origem, atravessa a rede e depois sobe pelas camadas do computador receptor. Somente a camada de aplicação no topo da pilha não fornece serviços para uma camada de nível superior.

As sete camadas de função são fornecidas por uma combinação de aplicativos, sistemas operacionais (SOs), drivers de dispositivos de placa de rede, hardware de rede e protocolos que permitem que um sistema transmita um sinal através de uma rede através de vários meios físicos, incluindo par trançado de cobre, fibra óptica, Wi-Fi ou Long-Term Evolution (LTE) com 5G.

As 7 camadas do modelo OSI

Qual é a função de cada camada do modelo OSI? As sete camadas de interconexão de sistemas abertos são as seguintes.

Camada 7 – A camada de aplicação

A camada de aplicação permite que o usuário – humano ou software – interaja com a aplicação ou rede sempre que o usuário optar por ler mensagens, transferir arquivos ou executar outras tarefas relacionadas à rede. Os navegadores da Web e outros aplicativos conectados à Internet, como Outlook e Skype, usam protocolos de aplicativos da Camada 7.

Abaixo, listamos os principais tipos de ataque de camada 7: 

  • Ataques de Injeção de Código: Exploram vulnerabilidades em entradas do usuário, inserindo códigos maliciosos que comprometem a integridade do sistema.
  • Ataques de Negação de Serviço (DoS ou DDoS) na Camada de Aplicação: Sobrecarregam serviços específicos, impedindo o acesso legítimo e causando interrupções.
  • Cross-Site Scripting (XSS): Injeta scripts maliciosos em páginas web visitadas por outros usuários, comprometendo a segurança e privacidade dos mesmos.
  • Cross-Site Request Forgery (CSRF): Manipula a execução de comandos em nome do usuário sem seu consentimento, muitas vezes explorando sessões autenticadas.
  • Ataques de Fingerprinting: Identificam tecnologias específicas em uso, facilitando futuros ataques direcionados com base nas vulnerabilidades conhecidas dessas tecnologias.

Para se proteger na camada 7 é indicado usar firewalls de aplicação, validar entradas de usuário, manter controle de acesso e autenticação fortes, monitorar logs, aplicar atualizações regularmente, atualizar recursos de WAF, criptografar dados, defender-se contra DDoS na camada de aplicação e realizar testes de segurança com educação contínua da equipe. 

Camada 6 – A camada de apresentação

A camada de apresentação traduz ou formata dados para a camada de aplicação com base na semântica ou sintaxe que a aplicação aceita. Essa camada também lida com a criptografia e descriptografia exigidas pela camada de aplicativo.

Abaixo, listamos os principais tipos de ataque de camada 6: 

  • Ataques de Encriptação e Descriptação: Buscam explorar vulnerabilidades nos algoritmos de criptografia, comprometendo a confidencialidade dos dados durante a transmissão.
  • Ataques de Compressão: Visam manipular algoritmos de compressão para explorar falhas e potencialmente ganhar acesso não autorizado aos dados comprimidos.
  • Manipulação de Formato de Dados: Ataques que exploram fragilidades na interpretação de formatos de dados, podendo resultar em interpretações erradas ou execução de código indesejado.
  • Exclusão de Conteúdo ou Características de Apresentação: Tenta remover ou alterar características específicas dos dados apresentados, impactando a experiência do usuário ou induzindo a interpretação incorreta.
  • Ataques de Esteganografia: Escondem dados maliciosos dentro de dados aparentemente inofensivos, visando passar despercebidos durante a transmissão.

Para proteger-se nessa camada é recomendado utilizar técnicas adequadas de criptografia para garantir a integridade e confidencialidade dos dados transmitidos. Certifique-se de implementar práticas seguras na manipulação de formatos de dados, evitando vulnerabilidades como a execução de código malicioso durante o processamento. Além disso, esteja atento à validação e autenticação dos dados para prevenir ataques que visam manipular a representação dos dados. 

Camada 5 – A camada de sessão

A camada de sessão configura, coordena e encerra conversas entre aplicativos. Seus serviços incluem autenticação e reconexão após uma interrupção. Esta camada determina quanto tempo um sistema aguardará a resposta de outro aplicativo. Exemplos de protocolos de camada de sessão incluem X.225 e Zone Information Protocol (ZIP).

Abaixo, listamos os principais tipos de ataque de camada 5:

  • Sequestro de Sessão (Session Hijacking): Um atacante intercepta e assume o controle de uma sessão ativa entre dois pontos, podendo resultar em acesso não autorizado.
  • Negociação de Sessão: Ataques que visam comprometer o processo de estabelecimento de sessão, manipulando as negociações para obter vantagens indevidas.
  • Ataques de Replay: O atacante grava e reproduz informações de sessões anteriores para realizar ações não autorizadas, aproveitando-se da reutilização de dados.
  • Redirecionamento de Sessão: Manipulações que direcionam uma sessão válida para um destino não autorizado, comprometendo a confidencialidade e integridade dos dados.
  • Ataques de Encerramento de Sessão (Session Termination Attacks): Táticas que tentam encerrar prematuramente uma sessão, impactando a comunicação legítima entre sistemas.

Para se proteger na camada 5, é recomendado implementar mecanismos seguros de autenticação e autorização para verificar a identidade dos participantes da sessão. Utilize protocolos seguros de gerenciamento de sessão para proteger a integridade e a confidencialidade das informações trocadas. Esteja atento a possíveis ataques de negação de serviço (DoS) direcionados às sessões, garantindo a disponibilidade do serviço. 

Camada 4 – A camada de transporte

A camada de transporte é responsável pela transferência de dados através de uma rede e fornece mecanismos de verificação de erros e controles de fluxo de dados. Ele determina quantos dados enviar, para onde serão enviados e a que taxa. O TCP dentro do conjunto TCP/IP é o exemplo mais conhecido da camada de transporte. É aqui que as comunicações selecionam os números das portas TCP para categorizar e organizar as transmissões de dados em uma rede.

Abaixo, listamos os principais tipos de ataque de camada 4:

  • Ataques SYN Flood (Ataque de Inundação SYN): Saturam um servidor alvo com solicitações SYN falsas, esgotando os recursos e impedindo novas conexões legítimas.
  • Ataques de Flood UDP: Sobrecarregam um servidor alvo enviando uma grande quantidade de pacotes UDP, visando congestionar a largura de banda e causar indisponibilidade.
  • Ataques de Negação de Serviço (DoS) na Camada de Transporte: Sobrecarregam a capacidade de processamento dos dispositivos alvo, tornando-os inacessíveis para usuários legítimos.
  • Manipulação de Sequência de Números: Tentativas de manipular a ordem dos números de sequência nos pacotes, comprometendo a integridade das comunicações e permitindo ataques de spoofing.
  • Ataques de Desvio de Rota (Route Hijacking): Ocorrem quando um atacante intercepta e redireciona o tráfego para um destino não autorizado, comprometendo a confidencialidade e integridade dos dados transmitidos.

Na camada 4, focada no transporte, é essencial controlar o acesso através de políticas de autorização. A utilização de firewalls específicos nessa camada permite monitorar e controlar o tráfego com base em portas e protocolos. A adoção de protocolos de segurança como TLS/SSL garante a criptografia da comunicação para preservar a confidencialidade e integridade dos dados durante a transmissão. Medidas contra ataques de negação de serviço (DoS) na camada de transporte são fundamentais para assegurar a disponibilidade dos serviços. Monitorar ativamente as conexões ajuda a identificar comportamentos suspeitos, como tentativas de estabelecimento de conexões maliciosas, fortalecendo a segurança nessa camada.

Camada 3 – A camada de rede

A principal função da camada de rede é mover dados para e através de outras redes. Os protocolos da camada de rede realizam isso empacotando os dados com informações corretas de endereço de rede, selecionando as rotas de rede apropriadas e encaminhando os dados empacotados pela pilha até a camada de transporte. Do ponto de vista TCP/IP, é aqui que os endereços IP são aplicados para fins de roteamento.


Abaixo, listamos os principais tipos de ataque de camada 3: 

  • Ataques de Roteamento Malicioso (Routing Attacks): Tentativas de modificar as tabelas de roteamento para direcionar o tráfego através de caminhos não autorizados, comprometendo a entrega correta dos dados.
  • Ataques de Spoofing de IP: Falsificação do endereço IP de origem para enganar dispositivos e servidores sobre a verdadeira origem do tráfego, muitas vezes facilitando outros ataques, como o Man-in-the-Middle.
  • Ataques DoS na Camada de Rede: Sobrecarregam os recursos da rede, tornando-a inacessível para usuários legítimos, muitas vezes através de uma inundação de tráfego.
  • Ataques ICMP Flood: Utilização excessiva de mensagens ICMP para sobrecarregar a rede alvo, afetando o desempenho e prejudicando a disponibilidade.
  • Ataques de Fragmentação IP: Manipulação maliciosa do tamanho dos fragmentos de pacotes IP, explorando vulnerabilidades nos sistemas de remontagem para comprometer a integridade dos dados.

Na camada 3, centrada no roteamento, a proteção envolve o estabelecimento de filtros de pacotes para controlar o tráfego com base em endereços IP e portas. A implementação de VPNs cria conexões seguras e criptografadas entre redes, assegurando a confidencialidade dos dados transmitidos. Firewalls de rede operando nessa camada monitoram e controlam o tráfego conforme regras de roteamento estabelecidas. A detecção de intrusões ajuda a identificar atividades maliciosas na rede, enquanto a segmentação da rede em segmentos isolados limita o impacto potencial de violações de segurança. Essas práticas fortalecem a segurança na camada 3, garantindo um roteamento eficiente e protegendo contra ameaças à integridade e confidencialidade dos dados.

Camada 2 – A camada de enlace de dados

O link de dados, ou camada de protocolo, em um programa lida com a movimentação de dados para dentro e para fora de um link físico em uma rede. Esta camada trata de problemas que ocorrem como resultado de erros de transmissão de bits. Ele garante que o ritmo do fluxo de dados não sobrecarregue os dispositivos de envio e recebimento. Esta camada também permite a transmissão de dados para a Camada 3, a camada de rede, onde são endereçados e roteados.

A camada de enlace de dados pode ser dividida em duas subcamadas. A camada superior, chamada de controle de link lógico (LLC), é responsável pela multiplexação, controle de fluxo, reconhecimento e notificação das camadas superiores se ocorrerem erros de transmissão/recepção (TX/RX).

A subcamada de controle de acesso à mídia é responsável por rastrear quadros de dados usando endereços MAC do hardware de envio e recebimento. Também é responsável por organizar cada quadro, marcando os bits iniciais e finais e organizando o tempo de quando cada quadro pode ser enviado ao longo do meio da camada física.

Abaixo, listamos os principais tipos de ataque de camada 2: 

  • Ataques de MAC Spoofing: Falsificação do endereço MAC para ganhar acesso não autorizado à rede, muitas vezes explorando a confiança baseada nos endereços MAC.
  • Ataques ARP Spoofing (Envenenamento ARP): Manipulação da tabela ARP para associar endereços IP a endereços MAC falsos, direcionando o tráfego para um local indesejado.
  • Ataques de Switch Flood: Envia uma grande quantidade de tráfego não solicitado para um switch, sobrecarregando suas capacidades e potencialmente expondo todo o tráfego da rede.
  • Ataques de VLAN Hopping: Explora vulnerabilidades em configurações inadequadas de redes VLAN, permitindo a um invasor acessar tráfego de VLANs diferentes.
  • Ataques de Spanning Tree Protocol (STP) Manipulation: Manipulação maliciosa do STP para criar loops na rede, causando congestionamento e interrupção do tráfego.
  • A camada 2 é onde ocorre a comutação de dados e controle de acesso ao meio físico, sendo assim, a proteção é crucial. Isso inclui o estabelecimento de controles de acesso, garantindo que apenas dispositivos autorizados possam se comunicar na rede. Além disso, a implementação de VLANs (Virtual Local Area Networks) possibilita a segmentação lógica da rede, reduzindo a exposição a possíveis ameaças. Medidas de segurança como STP (Spanning Tree Protocol) ajudam a evitar loops na topologia de rede, aumentando a estabilidade. A autenticação de dispositivos na camada 2 contribui para a prevenção de acessos não autorizados. 

Camada 1 – A camada física

A camada física transporta dados usando interfaces elétricas, mecânicas ou procedimentais. Esta camada é responsável por enviar bits de computador de um dispositivo para outro ao longo da rede. Ele determina como as conexões físicas com a rede são configuradas e como os bits são representados em sinais previsíveis à medida que são transmitidos eletricamente, opticamente ou por ondas de rádio.

Abaixo, listamos os principais tipos de ataque de camada 1: 

  • Ataques de Interferência Eletromagnética (EMI): Utilização de campos eletromagnéticos para interferir na transmissão de dados por meio de cabos ou sinais de rádio, comprometendo a qualidade da comunicação.
  • Ataques de Escuta (Wiretapping): Captura não autorizada de sinais elétricos transmitidos por cabos, permitindo a interceptação e análise de dados sensíveis.
  • Ataques de Injeção de Sinal (Signal Injection): Introdução de sinais elétricos maliciosos no meio de transmissão, podendo levar à corrupção de dados ou interferência nas comunicações.
  • Ataques de Roubo de Cabos: Furtos físicos de cabos de comunicação para interromper ou comprometer a conectividade de rede.
  • Ataques de Destruição Física: Danos físicos a componentes de rede, como cortes de cabos ou destruição de infraestrutura, causando interrupção total na comunicação.

Nesta camada, a ênfase está na proteção física da infraestrutura. Isso inclui o controle de acesso às instalações que abrigam equipamentos de rede, a implementação de medidas de segurança para evitar interferências eletromagnéticas, e a garantia de integridade dos cabos e conectores. Além disso, a gestão adequada de cabos reduz o risco de danos acidentais. A proteção na camada 1 é fundamental para assegurar a confiabilidade e a disponibilidade da infraestrutura física de rede.

Funções entre camadas

As funções entre camadas, ou serviços que podem afetar mais de uma camada, incluem o seguinte:

  • Telecomunicações de serviços de segurança, conforme definido pela recomendação X.800 do Setor de Padronização da União Internacional de Telecomunicações (UIT-T);
  • Funções de gestão que permitem a configuração, instanciação, monitorização e terminação das comunicações de duas ou mais entidades;
  • Multiprotocol Label Switching (MPLS), que opera em uma camada de modelo OSI que fica entre a camada de enlace de dados da Camada 2 e a camada de rede da Camada 3 – o MPLS pode transportar uma variedade de tráfego, incluindo quadros Ethernet e pacotes IP;
  • O Address Resolution Protocol (ARP) traduz endereços IPv4 (OSI Layer 3) em endereços Ethernet MAC (OSI Layer 2); 
  • Sistema de nomes de domínio (DNS), que é um serviço de camada de aplicativo usado para pesquisar o endereço IP de um nome de domínio.

Prós e contras do modelo OSI

O modelo OSI tem uma série de vantagens, incluindo as seguintes:

  • É considerado um modelo padrão em redes de computadores.
  • O modelo suporta serviços sem conexão, bem como serviços orientados a conexão. Os usuários podem aproveitar os serviços sem conexão quando precisarem de transmissões de dados mais rápidas pela Internet e o modelo orientado à conexão quando procuram confiabilidade.
  • Possui flexibilidade para se adaptar a muitos protocolos.
  • O modelo é mais adaptável e seguro do que agrupar todos os serviços em uma camada.

As desvantagens do modelo OSI incluem o seguinte:

  • Não define nenhum protocolo específico.
  • A camada de sessão, usada para gerenciamento de sessões, e a camada de apresentação, que lida com a interação do usuário, não são tão úteis quanto outras camadas do modelo OSI.
  • Alguns serviços são duplicados em várias camadas, como as camadas de transporte e de enlace de dados.
  • As camadas não podem funcionar em paralelo; cada camada deve esperar para receber dados da camada anterior.

SYN Flood (Inundação) – Como funciona esse tipo de ataque

Um ataque de inundação (flood) SYN é um tipo de ataque de negação de serviço (DoS) em um servidor de computador. Essa exploração também é conhecida como ataque semiaberto.

As inundações SYN são uma das várias vulnerabilidades comuns que aproveitam o TCP/IP para sobrecarregar os sistemas alvo. Os ataques de inundação SYN usam um processo conhecido como handshake triplo TCP. Como parte do handshake, o cliente e o servidor trocam mensagens para estabelecer um canal de comunicação.

O ataque envolve fazer com que um cliente envie repetidamente pacotes SYN – que significa sincronização – para todas as portas de um servidor usando endereços IP falsos. Quando um ataque começa, o servidor alvo vê o equivalente a múltiplas tentativas de estabelecer comunicações. Ele envia um pacote SYN-ACK – ou sincronização confirmada – de todas as portas abertas em resposta a cada tentativa de comunicação e um pacote RST – ou reset – de todas as portas fechadas.

Inundação SYN explicada: como explora o handshake de três vias: 

Um handshake triplo envolve as três etapas a seguir:

  • O cliente envia um pacote SYN para iniciar a comunicação com o servidor.
  • O servidor responde enviando um pacote SYN-ACK.
  • O cliente retorna um pacote ACK final para confirmar que o pacote SYN-ACK do servidor foi recebido.
  • Depois que essas três etapas ocorrerem, a comunicação poderá começar entre o cliente e o servidor. Entretanto, em uma inundação SYN, o cliente hostil não retorna um pacote de resposta ACK. Em vez disso, o programa cliente envia solicitações SYN repetidas para todas as portas do servidor. Um cliente hostil sabe que uma porta está aberta quando o servidor responde com um pacote SYN-ACK.

As solicitações SYN do cliente hostil parecem válidas para o servidor. No entanto, como o invasor usa endereços IP falsos, o servidor não consegue fechar a conexão enviando pacotes RST ao cliente.

Como resultado, a conexão permanece aberta e, antes que o tempo limite possa ocorrer, outro pacote SYN chega do cliente hostil. Isso é chamado de conexão semiaberta. O servidor fica tão ocupado com as solicitações hostis do cliente que a comunicação com o tráfego legítimo é difícil ou impossível.

Como pode ocorrer um ataque de inundação SYN?

As três maneiras pelas quais um ataque de inundação SYN pode ocorrer são as seguintes:

  • Falsificado. Em um ataque falsificado, o cliente mal-intencionado falsifica o endereço IP de cada pacote SYN enviado ao servidor, fazendo parecer que os pacotes vêm de um servidor confiável. A falsificação dificulta o rastreamento dos pacotes e a mitigação do ataque.
  • Direto. Este tipo de ataque SYN não usa endereços IP falsificados. Em vez disso, o invasor usa um dispositivo de origem com um endereço IP real para realizar o ataque. Com essa abordagem, é mais fácil rastrear a origem do ataque e desligá-lo.
  • Distribuído. Um ataque DoS distribuído (DDoS) usa uma botnet que espalha a fonte de pacotes maliciosos por muitas máquinas. As fontes são reais, mas a natureza distribuída do ataque torna difícil mitigá-lo. Cada dispositivo na botnet também pode falsificar seu endereço IP, aumentando o nível de ofuscação. Quanto maior o botnet, menor será a necessidade de mascarar o endereço IP.

Como podemos nos defender e mitigar o SYN Flood?


O objetivo da inundação SYN é ocupar todas as conexões do servidor e consumir os recursos do sistema. Para os servidores, a forma mais direta de defesa contra tais ataques é melhorar as capacidades do serviço, o que pode ser conseguido através da criação de um cluster e da atualização do hardware. No entanto, este método envolve custos significativos e tem pouco impacto em grandes números de pacotes de ataque. Leva apenas alguns minutos ou até segundos.

Como tal, estes pacotes de ataque devem ser interceptados antes de chegarem ao servidor. Para dispositivos de segurança como o firewall, os pacotes SYN são considerados pacotes de serviço normais e a política de segurança do firewall deve permitir sua passagem. Caso contrário, o servidor não poderá fornecer serviços para usuários externos. Se o endereço IP da fonte falsa for identificado, os pacotes SYN da fonte podem ser bloqueados através de políticas de segurança refinadas. Contudo, o administrador não pode prever quais fontes são falsas. Mesmo que a fonte falsa possa ser identificada, é impossível configurar ou cancelar rapidamente e automaticamente políticas de segurança para lidar com tráfego de ataques inesperados.

Neste caso, é necessário o sistema anti-DDoS. Este sistema é implantado na entrada da rede para processar pacotes SYN, identificar endereços IP de origem falsos, proteger pacotes desses endereços IP e transmitir apenas pacotes SYN válidos para o servidor. O sistema anti-DDoS processa pacotes SYN de duas maneiras: autenticação de origem e descarte do primeiro pacote.

Autenticação de origem

O sistema anti-DDoS intercepta um pacote SYN enviado pelo cliente e envia um pacote SYN-ACK ao cliente em nome do servidor. Se o cliente não responder, o sistema anti-DDoS considera que se trata de uma fonte falsa. Se o cliente responder, o sistema o considerará a fonte genuína e colocará seu endereço IP na lista de permissões. Dessa forma, o sistema anti-DDoS permite que todos os pacotes SYN da origem passem dentro de um período de tempo e não realiza resposta de proxy.

Descarte do primeiro pacote

Se o sistema anti-DDoS responder a todos os pacotes de ataque de inundação SYN em nome do servidor, o gargalo de desempenho será transferido do servidor para o sistema anti-DDoS. Uma vez esgotados os recursos do sistema anti-DDoS, os pacotes de ataque ainda são transmitidos de forma transparente ao servidor. Além disso, um grande número de pacotes SYN-ACK causa pressão adicional na rede. O sistema anti-DDoS usa o descarte do primeiro pacote para resolver esse problema.

A confiabilidade do protocolo TCP reside não apenas no handshake triplo, mas também no mecanismo de tempo limite e retransmissão. Em casos normais, se o cliente não receber a resposta SYN-ACK do servidor dentro de um determinado período de tempo após o envio de um pacote SYN, o cliente o reenviará. O sistema anti-DDoS descarta o primeiro pacote SYN recebido. Nos ataques de inundação SYN, a maioria dos pacotes SYN enviados pelo hacker mudaram os endereços IP de origem. Consequentemente, todos os pacotes SYN são considerados os primeiros pacotes pelo sistema anti-DDoS e são diretamente descartados. Se o cliente retransmitir um pacote SYN, o sistema anti-DDoS realizará a autenticação da origem do pacote. Isso reduz bastante a pressão do proxy no sistema anti-DDoS. Essa combinação de descarte do primeiro pacote e autenticação de origem protege eficazmente contra ataques de inundação SYN, especialmente aqueles ataques de portas e endereços IP de origem falsos.

Referências: 

https://www.techtarget.com/searchsecurity/definition/SYN-flooding

https://www.netscout.com/what-is-ddos/syn-flood-attacks

https://info.support.huawei.com/info-finder/encyclopedia/en/SYN+Flood.html

O que é Botnet?

Uma botnet (abreviação de “rede de robôs”) é uma rede de computadores infectados por malware que está sob o controle de uma única parte atacante, conhecida como “bot-herder”. Cada máquina individual sob o controle do bot-herder é conhecida como bot. A partir de um ponto central, a parte atacante pode comandar cada computador da sua botnet para executar simultaneamente uma ação criminosa coordenada. A escala de uma botnet (muitas compostas por milhões de bots) permite que o invasor execute ações em grande escala que antes eram impossíveis com malware. Como as botnets permanecem sob controle de um invasor remoto, às máquinas infectadas podem receber atualizações e alterar seu comportamento instantaneamente. Como resultado, os bot-herders conseguem frequentemente alugar o acesso a segmentos da sua botnet no mercado negro para obter ganhos financeiros significativos.

As ações comuns de botnet incluem:

  • Spam de e-mail – embora o e-mail seja visto hoje como um vetor de ataque mais antigo, os botnets de spam são alguns dos maiores em tamanho. Eles são usados principalmente para enviar mensagens de spam, muitas vezes incluindo malware, em números elevados de cada bot. O botnet Cutwail, por exemplo, pode enviar até 74 bilhões de mensagens por dia. Eles também são usados para espalhar bots para recrutar mais computadores para a botnet.
  • Ataques DDoS – aproveita a enorme escala do botnet para sobrecarregar uma rede ou servidor alvo com solicitações, tornando-o inacessível aos usuários pretendidos. Os ataques DDoS têm como alvo organizações por motivos pessoais ou políticos ou para extorquir pagamento em troca da cessação do ataque.
  • Violação financeira – inclui botnets especificamente concebidos para o roubo direto de fundos de empresas e informações de cartão de crédito. As botnets financeiras, como a botnet ZeuS, têm sido responsáveis por ataques envolvendo milhões de dólares roubados diretamente de múltiplas empresas em períodos muito curtos de tempo.
  • Intrusões direcionadas – botnets menores projetados para comprometer sistemas específicos de organizações de alto valor a partir dos quais os invasores podem penetrar e invadir ainda mais a rede. Estas intrusões são extremamente perigosas para as organizações, uma vez que os atacantes visam especificamente os seus activos mais valiosos, incluindo dados financeiros, investigação e desenvolvimento, propriedade intelectual e informações de clientes.

Botnets são criados quando o criador de bots envia o bot de seus servidores de comando e controle para um destinatário desconhecido usando compartilhamento de arquivos, e-mail ou protocolos de aplicativos de mídia social ou outros bots como intermediários. Assim que o destinatário abre o arquivo malicioso em seu computador, o bot reporta ao comando e controle, onde o pastor do bot pode ditar comandos aos computadores infectados. Abaixo está um diagrama que ilustra essas relações:

Uma série de características funcionais exclusivas de bots e botnets os tornam adequados para invasões de longo prazo. Os bots podem ser atualizados pelo bot-herder para alterar toda a sua funcionalidade com base no que ele gostaria que eles fizessem e para se adaptar às mudanças e contramedidas do sistema alvo. Os bots também podem utilizar outros computadores infectados na botnet como canais de comunicação, fornecendo ao bot-herder um número quase infinito de caminhos de comunicação para se adaptar às mudanças nas opções e fornecer atualizações. Isto destaca que a infecção é o passo mais importante, porque a funcionalidade e os métodos de comunicação podem sempre ser alterados posteriormente, conforme necessário.

Sendo um dos tipos mais sofisticados de malware moderno, as botnets são uma imensa preocupação de segurança cibernética para governos, empresas e indivíduos. Enquanto o malware anterior era um enxame de agentes independentes que simplesmente se infectavam e se replicavam, os botnets são aplicativos em rede coordenados centralmente que aproveitam as redes para ganhar poder e resiliência. Como os computadores infectados estão sob o controle do pastor de bots remoto, um botnet é como ter um hacker mal-intencionado dentro de sua rede, em vez de apenas um programa executável mal-intencionado.

Como a GoCache pode ajudar?

A GoCache possui uma solução de Bot Mitigation que identifica, classifica e bloqueia diferentes tipos de bots e comportamentos automatizados.

Referencias: 

  • https://www.techtarget.com/searchsecurity/definition/botnet 
  • https://usa.kaspersky.com/resource-center/threats/botnet-attacks

Tipos de Pentest – Testes de Penetração

Os Testes de Penetração (Pentests) são uma peça fundamental no quebra-cabeça da segurança cibernética, e diferentes abordagens são utilizadas para avaliar a resiliência dos sistemas. Neste artigo, vamos explorar três principais tipos de Pentests: Gray Box, Black Box e White Box, destacando suas características, aplicações e indicações específicas.

Antes, vamos falar brevemente sobre o que é um teste de invasão, ou pentest: 

O Pentest é uma prática de segurança cibernética que envolve simular ataques de hackers em um sistema, rede ou aplicação para identificar vulnerabilidades e avaliar a eficácia das medidas de segurança existentes. Durante um pentest, especialistas em segurança utilizam diversas técnicas, ferramentas e estratégias para tentar explorar possíveis brechas na segurança, com o objetivo de fornecer aos proprietários do sistema insights valiosos sobre pontos fracos e possíveis melhorias. Essa abordagem proativa ajuda as organizações a fortalecer suas defesas cibernéticas e aprimorar a resiliência contra potenciais ameaças digitais.

Agora que já sabemos o que é um Pentest, vamos falar um pouco sobre as diferentes abordagens utilizadas. 

Pentest Black Box:

  • O que é: No Black Box, o testador não tem conhecimento prévio do sistema, simulando um ataque de um hacker externo sem informações privilegiadas. Vulnerabilidades podem incluir falhas de autenticação, exposição de dados sensíveis, e outros pontos fracos que seriam exploráveis sem acesso a detalhes internos. O foco está na identificação de vulnerabilidades visíveis a partir de uma perspectiva externa.
  • O que faz: Simula um atacante externo tentando invadir o sistema sem informações privilegiadas. Isso ajuda a identificar como os sistemas resistem a ataques de agentes mal-intencionados externos.
  • Indicações: Recomendado para avaliações realistas de ameaças externas, testando a resiliência dos sistemas contra atacantes sem conhecimento interno.

Pentest White Box:

  • O que é: Nesse tipo de teste, o testador tem total conhecimento prévio do sistema, incluindo detalhes internos da arquitetura, código-fonte e configurações. As vulnerabilidades podem incluir falhas de programação, configurações inadequadas, e brechas de segurança lógica. O foco está na identificação de vulnerabilidades internas e na avaliação da robustez do código.
  • O que faz: Com conhecimento detalhado da arquitetura, códigos-fonte e configurações internas, os testadores podem simular um ataque mais preciso, identificando vulnerabilidades específicas e avaliando a eficácia das defesas.
  • Indicações: Ideal para organizações que desejam uma avaliação profunda de sua segurança interna, especialmente em sistemas críticos e de alto risco.

Pentest Gray Box:

  • O que é: No Grey Box, o testador possui um conhecimento parcial do sistema, simulando um atacante com informações limitadas. Vulnerabilidades identificadas podem abranger configurações de segurança inadequadas, pontos de acesso privilegiados e exploração de brechas que podem ser descobertas sem acesso completo ao código-fonte.
  • O que faz: Oferece uma visão equilibrada, permitindo que os testadores explorem as vulnerabilidades como um atacante interno e externo, sem ter um conhecimento total do sistema.
  • Indicações: Recomendado quando se deseja avaliar a postura de segurança em ambientes onde partes do sistema são conhecidas ou quando se busca uma avaliação mais equilibrada entre perspectivas internas e externas.

Como escolher a abordagem certa? 

  • Complexidade e precisão: O Pentest White Box oferece maior precisão, enquanto o Black Box simula ataques realistas.
  • Custo e tempo: O Black Box é muitas vezes mais rápido, enquanto o White Box pode ser mais demorado e envolvente.
  • Integração com desenvolvimento: O Pentest White Box é crucial para avaliar a segurança do código, enquanto o Black Box destaca falhas em níveis mais altos da arquitetura.

Como a GoCache pode te ajudar? 

A GoCache oferece diversos tipos de Pentest, feitos sob medida para sua aplicação. Abaixo, falaremos um pouco sobre os principais benefícios:

Garantir conformidade com a LGPD:  Identificando e corrigindo vulnerabilidades em sistemas, protegendo dados pessoais e prevenindo violações de dados que podem resultar em multas e sanções previstas pela LGPD

Compliance: Ajudamos a garantir a conformidade com regulamentações e padrões de segurança, como PCI DSS, HIPAA, ISO 27001, entre outros, identificando e corrigindo vulnerabilidades para que empresas atendam aos requisitos de segurança exigidos pelas diferentes regulamentações.

Reduzindo riscos de CyberSecurity: Identificamos e mitigamos os riscos operacionais associados à segurança de sistemas de informação, ajudando a identificar vulnerabilidades em sistemas e aplicativos e permitindo que as empresas tomem medidas corretivas antes que um ataque real ocorra.