Método derruba sites via DDoS com ataques que ultrapassam 10 Gb/s

Ataques DDoS com servidores do tipo middlebox não eram possíveis... até agora; problema preocupa pelo potencial de estrago

Emerson Alecrim
Por

Você já ouviu falar em middlebox? Esse é o nome de um equipamento que, entre outras funções, filtra o tráfego de dados de uma rede. Esse tipo de computador é útil em diversas aplicações, mas também pode representar um perigo: a Akamai descobriu ataques DDoS com picos de 11 Gb/s que usaram middleboxes em vez de computadores “normais”.

Ataque DDoS (imagem ilustrativa: Markus Spiske/Unsplash)
Ataque DDoS (imagem ilustrativa: Markus Spiske/Unsplash)

Esse é um novo tipo de ataque DDoS (ataque de negação de serviço distribuído), razão pela qual especialistas em segurança podem ter ficado surpresos com a descoberta. Mas não todos: pesquisadores da Universidade de Maryland e da Universidade do Colorado relataram, em agosto de 2021, que middleboxes poderiam ser usados em ações do tipo. Mas como?

Ataques DDoS ficaram mais sofisticados

Ataques DDoS visam derrubar um servidor ou sistema com um número excessivo de solicitações. Em uma comparação grosseira, é como se uma quantidade muito grande de caixas pesadas fosse colocada sobre um caminhão a ponto de o veículo não conseguir se movimentar.

Uma das estratégias usadas em ataques DDoS é o “recrutamento” de computadores infectados previamente com um malware que possibilita que o equipamento seja usado para esse fim.

Engenhoso, não? Mas as técnicas para execução de ataques DDoS ficaram ainda mais sofisticadas com o passar do tempo. Prova disso está no surgimento de uma estratégia de “amplificação reflexiva”.

De maneira resumida, o método funciona assim: o invasor envia pacotes para servidores na internet; estes, por sua vez, respondem com pacote maiores, mas que, graças a uma técnica de falsificação de IP, são enviados ao alvo do ataque, não à origem. Como consequência, o alvo fica sobrecarregado e para de responder.

Normalmente, ataques DDoS de amplificação reflexiva envolvem servidores cujos serviços são baseados em UDP (User Datagram Protocol). Isso porque esse tipo de protocolo segue um processo de comunicação baseado em dois estágios: uma solicitação é feita ao servidor; este simplesmente responde.

Com serviços baseados em TCP é diferente, pois esse tipo de conexão requer um handshake (procedimento de checagem entre origem e destino) de três estágios que, como tal, dificulta o uso da técnica de falsificação de IP.

Como? O estágio adicional consiste em uma confirmação que o computador que fez a solicitação inicial deve fazer à máquina que o respondeu; com a falsificação de IP, o pedido de confirmação não é enviado ao computador que iniciou a comunicação, logo, não há retorno.

Ataques via middlebox

Eis que, em agosto de 2021, os pesquisadores das Universidades de Maryland e Colorado publicaram um estudo que alerta que um grande número de middleboxes possui uma falha de projeto que faz o equipamento concluir erroneamente que um handshake foi finalizado, de modo que os três estágios não são exigidos.

Animação que mostra como os ataques com middleboxes funcionam (imagem: divulgação)
Animação que mostra como os ataques com middleboxes funcionam (imagem: divulgação)

Isso significa que a técnica da falsificação de IP pode ser usada em middleboxes. Assim, centenas ou milhares desses equipamentos poderiam ser “escalados” para responder a um alvo com pacotes de dados grandes, sobrecarregando-o.

Na época em que o estudo foi divulgado, não havia evidências de ataques DDoS baseados em middleboxes. Mas, no entendimento dos pesquisadores, era questão de tempo para isso acontecer. E aconteceu.

A Akami reportou que, na semana passada, vários ataques DDoS envolvendo middleboxes foram detectados. Essas ações geraram picos de até 11 Gb/s (gigabits por segundo) e 1,5 milhão de pacotes contra os alvos.

Embora esses ataques não sejam muito impactantes — ataques realmente problemáticos podem ultrapassar a barreira do terabit por segundo —, a descoberta causa preocupação pelo potencial de ações mais nocivas serem executadas a partir de agora.

Felizmente, o problema pode ser prevenido. Não é tarefa simples realizar ajustes em middleboxes — em alguns casos, esse trabalho pode até ser inviável —, mas os pesquisadores do método e a Akamai afirmam que há várias soluções possíveis.

Com informações: Ars Technica.

Relacionados

Relacionados