Uma das perguntas mais comuns de toda empresa que está sofrendo ataques DDoS é: como eu posso descobrir quem está me atacando?
A resposta para esta pergunta é que isto é quase inviável. Teoricamente é possível, mas na prática os custos são altos, o tempo investido é longo e a chance de um resultado positivo é muito baixa. Iremos explicar detalhadamente abaixo as razões pelas quais isto é impraticável.
Primeiramente é importante separarmos as duas principais origens dos ataques DDoS:
1) Hosts vulneráveis (ataques de reflexão)
Neste tipo de ataque, serviços e servidores mal configurados, como DNSs, NTP servers, DVRs e outros são utilizados para atacar a vítima. Estes servidores geralmente não pertencem a empresas e pessoas mal intencionadas, mas sim a empresas e pessoas que negligenciaram a segurança destes dispositivos. Este é o tipo de ataque mais comum e conta com milhares de dispositivos de diversas organizações durante cada episódio de ataque.
Nos ataques de reflexão, os endereços de origem são de fato dos equipamentos que estão realizando o DDoS, mas não de forma proposital. Ou seja, acionar os responsáveis por esses IPs ou apreender estes equipamentos não trará evidências forenses sobre quem é o autor do ataque.
2) Endereços spoofados
Este tipo de ataque é menos comum, mas não é raro. Diversos equipamentos infectados por um software malicioso ou alugados para este propósito são utilizados para realizar o ataque. Nestes ataques, os dispositivos mascaram (falsificam) seus IPs de origem, usando endereços que não os pertencem. Portanto os endereços IP de origem não são de fato dos dispositivos que estão originando o ataque.
A primeira dificuldade que encontramos para localizar o criminoso é discernir se trata-se de um ataque de reflexão ou um ataque spoofado. Apesar de não ser uma tarefa extremamente difícil, é uma atividade que só pode ser feita de forma confiável por um especialista.
No primeiro tipo de ataque mencionado, os IPs de origem são de empresas que são também vítimas do ataque por negligenciar boas práticas de segurança. Tentar localizar o real autor destes ataques envolveria colaboração destas empresas para permitir uma engenharia reversa, uma equipe de peritos e muita sorte para que o hacker tenha deixado rastros de sua identidade.
Já no segundo tipo de ataque, além de termos que contar com os passos que mencionamos acima, também teríamos que rastrear a origem física do ataque, o que envolveria mandados judiciais para obrigar múltiplas operadoras a trabalharem conjuntamente em prol da localização do ofensor numa ação orquestrada durante o ataque em curso para que sejam coletadas evidências.
Ou seja: é possível, mas as chances de sucesso são baixas e os custos altíssimos para isso. Geralmente os caminhos utilizados para se localizar criminosos por trás de ataques DDoS são outros, como uma investigação particular ou técnicas de engenharia social.
Mas isto não elimina a necessidade do registro de queixa-crime na polícia. Muitas vezes a associação de casos similares e investigação policial resultam em prisões, como as da operação Attack Mestre, ocorrida em Setembro de 2020.
Como não ser origem destes ataques
Você pode ser vítima direta ou indireta de um ataque. Chamamos de vítima indireta aqueles que participam de um ataque por possuírem dispositivos em sua rede que estão sendo usados para originar estes ataques DDoS. Para que sua rede não seja origem de ataques como estes, uma série de boas práticas de segurança de redes devem ser aplicadas, como a utilização de uRPF (filtro antispoofing), prevenção de loops de roteamento e adesão ao MANRS. Este último é um projeto que sugere várias ações para melhorar a segurança e coordenação global da Internet, e quando você adere à estas boas práticas, pode se inscrever como um membro da MANRS e ser globalmente reconhecido como uma empresa consciente.
Reagindo à ataques DDoS
A primeira linha de defesa contra um ataque é poder identificá-lo. Informações como redes de destino, volumetria, portas e protocolos usados no ataque são essenciais para se definir o próximo passo. Na maioria dos casos a solução mais adequada é, além de possuir uma solução de detecção automatizada, possuir também um serviço de mitigação em nuvem.
“Em casos mais específicos, outras abordagens como possuir um time de SOC (Security Operations Center) especializado ou sistemas locais de mitigação também podem ser adotadas”, diz Ayub, CIO da Sage Networks.
A Sage oferece soluções completas e multidisciplinares para resolver qualquer ataque, independente de seu tamanho ou tipo. Se necessário, você pode contatar um de nossos especialistas pelo e-mail comercial@sagenetworks.com.br, por Whatsapp ou pelo telefone +55 19 3500-6269.
Perguntas Frequentes (FAQ)
Embora tecnicamente possível, a identificação do autor é considerada impraticável na maioria dos casos. Isso ocorre devido aos altos custos, longo tempo de investigação e baixa probabilidade de sucesso, já que os criminosos utilizam técnicas para ocultar sua identidade real por trás de redes de terceiros.
Nos ataques de reflexão, o criminoso utiliza servidores legítimos, mas mal configurados (como DNS, NTP ou DVRs), para inundar a vítima.
O problema: Os endereços IP que aparecem no ataque são de empresas e pessoas idôneas que apenas negligenciaram a segurança de seus dispositivos.
Consequência: Analisar esses IPs não revela o autor, apenas as “vítimas indiretas” cujos aparelhos foram usados no ataque.
Neste modelo, os dispositivos atacantes mascaram seus IPs reais, utilizando endereços falsificados.
Dificuldade Técnica: Rastrear a origem física exige mandados judiciais e a colaboração simultânea de múltiplas operadoras de trânsito enquanto o ataque ainda está em curso.
Apesar da dificuldade individual, o registro policial é essencial. A associação de casos similares permite que a polícia identifique padrões e realize operações de maior escala, como a Operação Attack Mestre, que resultou em prisões ao cruzar dados de múltiplos ataques.
Uma rede é considerada vítima indireta quando possui dispositivos (servidores, roteadores ou IoT) mal configurados que estão sendo usados por criminosos para atacar outras empresas. Isso consome o upload da rede e pode sujar a reputação dos IPs da empresa.
Para não ser uma origem de ataques, o provedor ou empresa deve adotar boas práticas de higiene de rede:
uRPF (Unicast Reverse Path Forwarding): Filtro antispoofing essencial.
Prevenção de loops de roteamento.
Adesão ao MANRS: Um projeto global que certifica empresas que seguem normas rigorosas de segurança e coordenação na internet.
A primeira linha de defesa é a visibilidade. É necessário identificar:
Redes de destino e volumetria (Gbps/Pps).
Protocolos e portas utilizados.
Solução recomendada: Utilizar sistemas de detecção automatizados combinados com serviços de mitigação em nuvem ou uma equipe de SOC (Security Operations Center) especializada.
A Sage Networks atua na implementação de soluções multidisciplinares que vão desde o design da rede para suportar ataques massivos até o monitoramento em tempo real e resposta a incidentes, independentemente do tipo ou tamanho do ataque.
