May 07, 2021

DDoS: Como saber quem está me atacando?

hacker working darkness min

Uma das perguntas mais comuns de toda empresa que está sofrendo ataques DDoS é: como eu posso descobrir quem está me atacando?

A resposta para esta pergunta é que isto é quase inviável. Teoricamente é possível, mas na prática os custos são altos, o tempo investido é longo e a chance de um resultado positivo é muito baixa. Iremos explicar detalhadamente abaixo as razões pelas quais isto é impraticável.

 

Primeiramente é importante separarmos as duas principais origens dos ataques DDoS:

 

1) Hosts vulneráveis (ataques de reflexão)

Neste tipo de ataque, serviços e servidores mal configurados, como DNSs, NTP servers, DVRs e outros são utilizados para atacar a vítima. Estes servidores geralmente não pertencem a empresas e pessoas mal intencionadas, mas sim a empresas e pessoas que negligenciaram a segurança destes dispositivos. Este é o tipo de ataque mais comum e conta com milhares de dispositivos de diversas organizações durante cada episódio de ataque.

Nos ataques de reflexão, os endereços de origem são de fato dos equipamentos que estão realizando o DDoS, mas não de forma proposital. Ou seja, acionar os responsáveis por esses IPs ou apreender estes equipamentos não trará evidências forenses sobre quem é o autor do ataque.

 

2) Endereços spoofados

Este tipo de ataque é menos comum, mas não é raro. Diversos equipamentos infectados por um software malicioso ou alugados para este propósito são utilizados para realizar o ataque. Nestes ataques, os dispositivos mascaram (falsificam) seus IPs de origem, usando endereços que não os pertencem. Portanto os endereços IP de origem não são de fato dos dispositivos que estão originando o ataque.

A primeira dificuldade que encontramos para localizar o criminoso é discernir se trata-se de um ataque de reflexão ou um ataque spoofado. Apesar de não ser uma tarefa extremamente difícil, é uma atividade que só pode ser feita de forma confiável por um especialista.

No primeiro tipo de ataque mencionado, os IPs de origem são de empresas que são também vítimas do ataque por negligenciar boas práticas de segurança. Tentar localizar o real autor destes ataques envolveria colaboração destas empresas para permitir uma engenharia reversa, uma equipe de peritos e muita sorte para que o hacker tenha deixado rastros de sua identidade.

Já no segundo tipo de ataque, além de termos que contar com os passos que mencionamos acima, também teríamos que rastrear a origem física do ataque, o que envolveria mandados judiciais para obrigar múltiplas operadoras a trabalharem conjuntamente em prol da localização do ofensor numa ação orquestrada durante o ataque em curso para que sejam coletadas evidências.

Ou seja: é possível, mas as chances de sucesso são baixas e os custos altíssimos para isso. Geralmente os caminhos utilizados para se localizar criminosos por trás de ataques DDoS são outros, como uma investigação particular ou técnicas de engenharia social.

Mas isto não elimina a necessidade do registro de queixa-crime na polícia. Muitas vezes a associação de casos similares e investigação policial resultam em prisões, como as da operação Attack Mestre, ocorrida em Setembro de 2020.

 

Como não ser origem destes ataques

Você pode ser vítima direta ou indireta de um ataque. Chamamos de vítima indireta aqueles que participam de um ataque por possuírem dispositivos em sua rede que estão sendo usados para originar estes ataques DDoS. Para que sua rede não seja origem de ataques como estes, uma série de boas práticas de segurança de redes devem ser aplicadas, como a utilização de uRPF (filtro antispoofing), prevenção de loops de roteamento e adesão ao MANRS. Este último é um projeto que sugere várias ações para melhorar a segurança e coordenação global da Internet, e quando você adere à estas boas práticas, pode se inscrever como um membro da MANRS e ser globalmente reconhecido como uma empresa consciente.

 

Reagindo à ataques DDoS

A primeira linha de defesa contra um ataque é poder identificá-lo. Informações como redes de destino, volumetria, portas e protocolos usados no ataque são essenciais para se definir o próximo passo. Na maioria dos casos a solução mais adequada é, além de possuir uma solução de detecção automatizada, possuir também um serviço de mitigação em nuvem.

“Em casos mais específicos, outras abordagens como possuir um time de SOC (Security Operations Center) especializado ou sistemas locais de mitigação também podem ser adotadas”, diz Ayub, CIO da Sage Networks.

A Sage oferece soluções completas e multidisciplinares para resolver qualquer ataque, independente de seu tamanho ou tipo. Se necessário, você pode contatar um de nossos especialistas pelo e-mail comercial@sagenetworks.com.br, por Whatsapp ou pelo telefone +55 19 3500-6269.

 

COMPARTILHE

Você também pode gostar

Pessoas celebrando sucesso, mostrando como aproveitar datas comemorativas pode beneficiar provedores de internet.

Datas Comemorativas: Traga mais clientes para seu provedor!

Imagem de um aperto de mão, simbolizando o three way handshake, um processo essencial para estabelecer conexões confiáveis no protocolo TCP na internet.

Three Way Handshake: O Básico do Protocolo TCP

o que e botnet

BOTNET: O que é e como funciona?

Garantice la seguridad de su negocio contra ataques DDoS

Deje el nombre de su empresa y su teléfono para que pueda conocer mejor nuestras soluciones.