O que é DDoS e como ele funciona?

/em

Um estudo recente mostrou que cerca de 75% dos tomadores de decisão de TI sofreram pelo menos um DDoS nos últimos 12 meses e 31% relataram interrupção do serviço como resultado desses ataques.

A cada dia mais e mais organizações comerciais e governamentais estão descobrindo da maneira mais difícil que o DDoS é uma ameaça que não pode ser ignorada.

E qual o segredo do “sucesso” do DDoS? Muitos ataques DDoS são bem-sucedidos não devido à habilidade ou recursos de quem faz o ataque, mas devido à falta de preparação do lado de quem precisa se defender.

Os gerentes de segurança, acostumados a lidar com ameaças como intrusões, explorações de aplicativos da web e worms, podem ainda não estar totalmente cientes de que lidar com DDoS requer uma gama de ferramentas de proteção web exclusiva e dedicada a isso.

Os ataques de negação de serviço distribuído (DDoS – Distributed denial of service) são uma subclasse de ataques de negação de serviço (DoS – denial of service). Um ataque DDoS envolve vários dispositivos online conectados, coletivamente conhecidos como botnets, que são usados para sobrecarregar um site de destino ou aplicação com tráfego falso.

Ao contrário de outros tipos de ataques cibernéticos, os ataques DDoS não tentam violar seu perímetro de segurança. Em vez disso, um ataque DDoS visa tornar o seu site e os servidores indisponíveis para usuários legítimos.

O DDoS também pode ser usado como cortina de fumaça para outras atividades maliciosas e para derrubar dispositivos de segurança, violando o perímetro de segurança do alvo.

Um ataque de negação de serviço bem-sucedido é um evento altamente perceptível que afeta toda uma base de usuários online. Isso o torna uma arma popular de escolha para hacktivistas, extorsionistas e qualquer outra pessoa que queira defender uma causa ou um ponto de vista.

Os ataques DDoS podem ocorrer em explosões curtas ou ataques repetidos, mas de qualquer forma o impacto em um site ou empresa pode durar dias, semanas e até meses, à medida que a organização tenta se recuperar. Isso pode tornar o DDoS extremamente destrutivo para qualquer organização online. Entre outras coisas, os ataques DDoS podem levar à perda de receita, corroer a confiança do consumidor, forçar as empresas a gastar fortunas em compensações e causar danos à reputação a longo prazo.

Se você administra um projeto online e ainda não sabe por onde começar para proteger sua aplicação, as perguntas básicas abaixo podem te ajudar a dar os primeiros passos.

Perguntas básicas importantes incluem:

● Quais ativos de infraestrutura precisam de proteção?

● Quais são os pontos fracos ou pontos únicos de falha?

● O que é necessário para derrubá-los?

● Como e quando você saberá que é o alvo? Será tarde demais?

● Quais são os impactos (financeiros e outros) de uma interrupção prolongada?

De posse dessas informações, é possível priorizar suas preocupações, examinando várias opções de mitigação de DDoS dentro da estrutura do seu orçamento de segurança.

Se você estiver executando um site comercial ou aplicativos online (por exemplo, aplicativos SaaS, banco online, comércio eletrônico), provavelmente desejará proteção 24 horas por dia, 7 dias por semana, sempre ativa. Um grande escritório de advocacia, por outro lado, pode estar mais interessado em proteger sua infraestrutura – incluindo servidores de e-mail, servidores FTP e plataformas de back office – do que o seu site. Este tipo de negócio pode optar por uma solução “on demand”.

O segundo passo é escolher o método de implantação. A maneira mais comum e eficaz de implementar proteção contra DDoS sob demanda para os seus principais serviços de infraestrutura em uma sub-rede inteira é por meio do protocolo de gateway de fronteira (BGP – border gateway protocol). No entanto, isso funcionará apenas sob demanda, exigindo que você ative manualmente a solução de segurança em caso de ataque.

Consequentemente, se você precisar da proteção contra DDoS sempre ativa no seu aplicativo da Web, use o redirecionamento de DNS para redirecionar todo o tráfego do site (HTTP/HTTPS) por meio da rede do provedor de proteção contra DDoS (geralmente integrada a uma rede de entrega de conteúdo, conhecidas como CDNs). A vantagem dessa solução é que a maioria das CDNs oferece escalabilidade e plantão NOC para absorver ataques volumétricos, ao mesmo tempo que minimiza a latência e acelera a entrega de conteúdo.