Os ataques de negação de serviço distribuído (DDoS) se tornaram recorrentes na vida de empresas e usuários na internet. Por esse motivo, é importante saber como eles funcionam e de que maneira é possível se defender desse tipo de ameaça na web. Neste artigo, iremos explicar um pouco mais sobre os ataques de amplificação DNS.
Afinal, o que são os ataques de amplificação DNS?
Os servidores DNS são um dos vetores mais exploradas em ataques DDoS. O atacante realiza uma busca por fraquezas no sistema de nomes de domínio (DNS) e gradativamente vai amplificando o ataque. Esse método faz parte do grupo de ataques do tipo volumétrico e também é conhecido como ataque de reflexão.
Como funciona esse tipo de ataque?
Geralmente, os ataques DDoS possuem a capacidade de consumir todos os recursos do servidor ou até mesmo da infraestrutura do alvo. Além disso, na amplificação DNS, o atacante usa uma técnica chamada IP spoofing (falsificação de IP). Neste caso, o criminoso utiliza o próprio IP da vítima para realizar as requisições ao servidor DNS, ou seja, a origem envia vários pacotes pequenos que retornam para o destino com um tamanho muito maior. Portanto, após receber tantas requisições, o servidor fica sobrecarregado.
É como se alguém ligasse passando um trote em um supermercado e fizesse um pedido via telefone solicitando todos os itens disponíveis no estabelecimento. No entanto, após anotar todas essas solicitações, o atendente do mercado enviaria todas aquelas mercadorias para a vítima que sequer teria ciência da encomenda.
Veja um exemplo em que acontece um ataque de amplificação DNS:
Para ter mais clareza sobre o cenário de um ataque DDoS de amplificação DNS, vamos imaginar a seguinte situação:
Primeiramente, o atacante envia um pacote de 2 Mbps e o servidor DNS devolve um outro pacote vinte vezes maior, ou seja, 40 Mbps em uma grande velocidade. Agora, multiplique o tamanho dos pacotes (40 Mbps) pelos 4000 dispositivos que integram o botnet do criminoso. Portanto, após um cálculo básico, teríamos um ataque volumétrico de 160 Gbps.
A evolução dos ataques DDoS
Os ataques DDoS estão cada vez mais modernos e os criminosos buscam constantemente aprimorar novas técnicas no objetivo de surpreender as defesas do alvo. Apesar de termos usado como exemplo um ataque final de 160 Gbps, dependendo das intenções e dos recursos do atacante, esse tráfego pode chegar na casa dos Tbps. Por exemplo, o Google revelou ter sofrido em 2017 um dos maiores ataques DDoS da história, chegando a uma volumetria de 2,5 Tbps.
Portanto, é importante ficar atento com os ataques DDoS, afinal, nos dias atuais, eles podem ganhar grandes proporções com muita facilidade. Além do mais, você não quer ser a próxima vítima de um ataque desses, não é mesmo?
É possível se proteger de um ataque de amplificação DNS?
Como observamos nos tópicos anteriores, um ataque como o de amplificação DNS, não é tão simples de ser mitigado. Ainda mais, se tiver uma grande volumetria, pois nesse caso, exigiria que as defesas desempenhassem um papel mais proativo. Afinal, esse tipo de ataque demanda muita capacidade de comunicação com os seus uplinks.
Além disso, é importante ressaltar que o maior impacto é sentido diretamente nas infraestruturas dos ISP’s (Internet Service Provider ou Provedor de Serviço de Internet). Isso porque eles podem não ser capazes de bloquear o tráfego malicioso proveniente desses ataques — o que faria com que seus servidores sofressem com a sobrecarga causada pelos mesmos. Por isso, é importante ter boas práticas internas e também contar com um serviço de defesa especializado na detecção e mitigação de ataques DDoS, como por exemplo, o HugeGuard, que pode lhe ajudar proteger a sua infraestrutura em nuvem ou in-house (on-premise / no local).
Uma dica: você ainda pode criar regras em sua rede para prevenir esse tipo de ataque. Por exemplo, configure os servidores internos de DNS para atender apenas as solicitações feitas por sua empresa ou rede interna. Uma outra opção, é usar um DNS anycast na distribuição do tráfego para evitar a sobrecarga dos servidores.
Quer saber mais sobre ataques DDoS? Leia o artigo “O que é DDoS”
Sobre a solução contra ataques DDoS da Huge Networks
Atualmente, a Huge Networks possui soluções modernas, e com a ajuda de um sistema com IA somos capazes de detectar anomalias desconhecidas através de “base learning”, comparando o padrão de tráfego de todos os nossos clientes e todas as flags TCP/IP. Além disso, possuímos um backbone de +10 Tbps, capaz de detectar e mitigar um ataque em menos de 5 segundos, principalmente contra ataques volumétricos.