Um ataque DDoS pode derrubar quase qualquer site ou serviço online. A premissa é simples: usar um botnet infectado para atingir e sobrecarregar servidores vulneráveis com tráfego massivo. Vinte anos após sua introdução, o DDoS permanece tão eficaz como sempre – e continua a crescer em frequência, sofisticação e intensidade. Isso faz da defesa contra DDoS, a principal prioridade de segurança cibernética para as organizações.
Para adotar uma abordagem proativa à defesa contra DDoS, a A10 Networks publicou um relatório sobre o cenário atual de DDoS. O estudo realizado no 4º trimestre de 2019, fornece informações detalhadas sobre ameaças, para mostrar a estratégia de defesa. Foram rastreadas quase seis milhões de armas, os locais onde os ataques são lançados; os serviços explorados e quais os métodos utilizados para maximizar os danos.
Entre as principais conclusões:
· Amplificação refletida leva o DDoS ao próximo nível
Os protocolos SNMP (Protocolo Simples de Gerência de Rede) e SSDP (Protocolo Simples de Descoberta de Serviço) têm sido as principais fontes de ataques DDoS, e essa tendência continuou no quarto trimestre de 2019, com quase 1,4 milhão de armas SNMP e cerca de 1,2 milhão de armas SSDP rastreadas.
Mas em um desenvolvimento alarmante, os ataques do WS-Discovery (descoberta dinâmica de serviços da Web) aumentaram acentuadamente, para quase 800 mil, para se tornar a terceira fonte mais comum de DDoS. A mudança se deve em parte à crescente popularidade de ataques usando dispositivos de IoT configurados incorretamente, para amplificar um ataque.
Neste modo de ataque, conhecido como amplificação refletida, os hackers estão voltando sua atenção para os dispositivos IoT expostos à Internet, executando o protocolo WS-Discovery. Projetado para suportar uma ampla variedade de casos de uso de IoT, o WS-Discovery é um protocolo de comunicação multicast baseado em UDP (User Datagram Protocol), utilizado para descobrir automaticamente os serviços conectados à Web.
O WS-Discovery não realiza a validação da fonte IP, tornando simples para os invasores falsificarem o endereço do alvo. A partir disso, a vítima será inundada com dados de dispositivos IoT próximos. A maior parte do inventário descoberto até o momento foi encontrado no Vietnã, Brasil, Estados Unidos, Coreia do Sul e China.
Com mais de 800 mil hosts WS-Directory disponíveis para exploração, a amplificação refletida provou ser altamente eficaz – com amplificação observada de até 95 vezes. Os ataques de amplificação refletidas atingiram uma escala recorde, como o ataque do GitHub baseado em Memcached de 1,3 Tbps e que respondem pela maioria dos ataques DDoS. Eles também são bem difíceis de defender; somente 46% dos ataques respondem à porta 3702, conforme o esperado, enquanto 54% respondem por portas mais altas.
· DDoS está se tornando móvel
Os ataques DDoS são claros evidentes, permitindo que os defensores detectem seu ponto de lançamento. Embora essas armas sejam distribuídas globalmente, o maior número de ataques tem origem em países com maior densidade de conectividade à Internet, incluindo China, EUA e Coreia do Sul.
Em outra tendência importante, a prevalência de armas DDoS hospedadas por operadoras de telefonia móvel disparou perto do final de 2019.
· O pior está por vir
Com os dispositivos IoT entrando on-line a uma taxa de 127 por segundo e aumentando, a situação pode se complicar. De fato, novas cepas de malware DDoS, da família Mirai, já estão direcionando dispositivos IoT baseados em Linux – e tenderão a aumentar com o 5G. Enquanto isso, os serviços de DDoS por aluguel e os criadores de bots continuam a tornar mais fácil um hacker lançar um ataque direcionado letal.
O relatório A10 Networks mostra a importância de uma estratégia completa de defesa contra DDoS. As empresas e as operadoras devem aproveitar a sofisticada inteligência de ameaças DDoS, combinada com a detecção de ameaças em tempo real, para se defender contra ataques DDoS, não importa de onde se originem. Métodos como extração automática de assinaturas e listas negras de endereços IP de botnets DDoS e servidores vulneráveis disponíveis podem ajudar as organizações a se defenderem proativamente antes do início dos ataques.
