Ataques de Negação de Serviço (DDoS) - como nos defendermos?

Acabamos de assistir o maior ciberataque da história da Internet. Foram 130 Gbps direcionados contra um único alvo – a empresa holandesa Spamhaus, organização de combate a spam que mantém listas de IPs e domínios envolvidos com o envio de mensagens não solicitadas. Para se ter ideia do volume, estes 130 Gbps representam cerca de 7.000 canais de TV em alta definição transmitindo ao mesmo tempo. Um ataque desta magnitude derruba rapidamente qualquer conexão com a Internet comercial no Brasil.

Como é possível lançar um ataque deste tamanho? É a pergunta que rapidamente nos vem à mente. É óbvio que não se consegue este volume de dados com um único computador, por melhor que seja sua conexão. Por isso, a maneira mais provável é que seja usada uma botnet. Uma botnet é uma rede de computadores infectados por um determinado vírus e que podem ser controlados remotamente, quando necessário, por um único computador chamado ‘herder’ (pastor).

É comum que botnets sejam alugadas, normalmente para enviar spam ou para ataques de negação de serviço. No caso do ataque em questão, seriam necessários 130.000 computadores conectados a 1 Mbps para conseguir gerar o impressionante número de 130 Gpbs. Como muitos dos computadores de uma botnet típica estão em países em desenvolvimento que não possuem conexão rápida e muitos estão desligados no momento do ataque, seria necessário que a botnet utilizada para atacar o SpamHaus tivesse pelo menos 1.350.000 computadores. Muito pouco provável, portanto.

Para se conseguir este volume de dados certamente foram utilizadas técnicas de amplificação, como DNS Reflection. Para explicar o que é isso, é preciso compreender minimamente como funciona um servidor de DNS.

Quando você acessa a internet, utiliza um recurso que seu provedor lhe fornece chamado DNS resolver. Quando você digita no seu browser algum site é o DNS resolver que responde ao seu computador que esse endereço é na verdade 200.219.234.99 pois seu computador em uma rede TCP/IP como a internet precisa se comunicar com endereços IP.

O que ocorre é que um DNS resolver deveria responder somente a computadores de sua rede – no caso do provedor que citamos, seus servidores de DNS deveriam resolver nomes somente para seus clientes e não para qualquer um na internet. Infelizmente há muitos servidores de DNS ‘abertos’ na internet, respondendo a consultas vindas de qualquer um. Os atacantes, então, enviam um tipo diferente de consulta, como os registros de DNSSEC que resultam em uma resposta ‘grande’ (em termos de bytes enviados). Assim, eles forjam os endereços de consulta (spoofing), como se os alvos estivessem fazendo consultas aos servidores de DNS abertos que geram respostas ‘pesadas’ em grande escala. Isso é possível, pois as consultas são feitas via UDP, um protocolo que não estabelece conexão. Como os servidores de DNS normalmente possuem boas conexões com a internet, não têm muito problema em enviar respostas ‘grandes’ ao mesmo tempo, para um mesmo destino. E como os atacantes usam muitos servidores para enviar respostas, todas para um mesmo destino.

Se defender de um ataque deste tipo é possível aplicando filtros nos roteadores de entrada, bloqueando os principais IPs ofensores e monitorando de perto até que o ataque cesse. Não é simples. No caso deste ataque a SpamHaus, o provedor Cloud Flare conseguiu mitigar o problema distribuindo o tráfego entre seus muitos datacenters, mas empresas no Brasil não seriam capazes, a meu ver.

Um caminho mais razoável seria evitar a vulnerabilidade em servidores de DNS. O Open Resolver DNS Project permite consultar redes em busca de servidores vulneráveis, em www.openresolverproject.org, e o CERT.BR explica como evitar a vulnerabilidade em www.cert.br/docs/whitepapers/dns-recursivo-aberto.

Hoje, há cerca de 27 milhões de servidores de DNS vulneráveis no mundo e muito a ser feito. Mãos à obra!

.Por: Flávio Carvalho, diretor de Serviços da Arcon serviços gerenciados de segurança da informação. | Arco- Atuando no mercado nacional desde 1995, a Arcon é uma empresa especializada em serviços gerenciados de segurança (MSS – Managed Security Services). A companhia tem por missão selecionar, implantar, monitorar e operar sistemas de proteção da informação que maximizem o resultado dos investimentos e aumentem o nível de segurança das empresas de médio e grande porte do Brasil.

Com SOCs redundantes localizados nas cidades do Rio de Janeiro e São Paulo e uma equipe de profissionais de segurança certificados e altamente capacitados, a Arcon gerencia mais de 300 ativos de segurança em todo o País, protegendo mais de 160.000 estações de trabalho e servidores de clientes de diversas verticais, entre elas finanças, telecomunicações, governo, indústria, saúde, energia e educação.

Nos últimos cinco anos a empresa cresceu a uma média de 37% ao ano, conquistou mais de uma centena de clientes e firmou-se como referência no mercado brasileiro de MSS, tendo conquistado ainda o primeiro lugar no ranking Anuário Outsourcing, no segmento MSS, em 2010 e 2011. [www.arcon.com.br].