A RioRey possui uma das melhores documentações que explica a variedade de ataques DDoS/DoS que existem no mercado. Mas infelizmente, não há menção alguma ao DDoS/DoS Financeiro.

Este tipo de ataque é direcionado, na maioria dos casos, à empresas que possuem a sua infra provida por soluções by cloud, principalmente a Amazon. Isso porque o atacante sabe de duas informações muito interessantes:

  • O tráfego de rede cobrado por este tipo de empresa ou modalidade é o outbound, aquele que sai do servidor para o usuário
  • Muitos dos clientes, para ser mais exato, a maioria, não implementa uma monitoração, ou até mesmo limitadores, que delimitem este tráfego, seja ele por valores pagos mensalmente ou pela quantidade total trafegada, também de forma mensal.

Pensem um pouco. 100MB de download não é nada para quem adquire um serviço by amazon, não é mesmo ? Mas e se o download passa dos 2TB ou melhor, 100 TB ? Já pararam para pensar em quanto ficará a conta do serviço de cloud deste cara no final do mês ?

É aí que mora o perigo.

O ataque funciona da seguinte forma:

  • O Hacker ou Cracker descobre que um determinado site ou portal está hospedado em uma solução de cloud, porque pingando o host do cara, ele vê que o ip faz parte do range da amazon.
  • Ele utiliza algumas ferramentas que atuam como crawler, mas de forma mais específica. Fuçando diretórios da vítima a procura de arquivos grandes, quero dizer, maiores que 10 MB.
  • A brincadeira começa quando o arquivo é encontrado, pois o malandro, via um script PHP multi-threads, inicia o download em massa do carinha.

Empresas de todos os tamanhos vêm sofrendo com este tipo de ataque. E o pior, os provedores de cloud dizem que não podem fazer nada a respeito, restando à vítima o pagamento da fatura no final do mês. 🙁

Usuários, fiquem espertos nas empresas que são afetadas por este tipo de ataque. São elas:

Amazon, google e rackspace

A DigitalOCean bloqueia o acesso ao seu droplet toda vez que o acesso chega aos seus 40Mb/s de tráfego.

Como mitigar este tipo de ataque ?

Para serviços providos by amazon, a solução é simples, mas tem um custo, mesmo que pequeno. A configuração de um monitor no CloudWatch com um valor ou métrica, que quando atingido, desliga o servidor/vítima de forma automática e informa a vc do ocorrido.

Para quem trabalha com outros serviços de cloud, resta a contratação de cloudflares ou cloudproxy da vida, este último da sucuri. Eles seguram este ataque, já que estão em outra camada e o custo, na maioria das vezes e dependendo do plano contratado, não passa das US$ 20.00/mês

Soube de 3 startups que quase deixaram de iniciar as suas atividades ou lançar alguns de seus produtos devido a fatura bizarra que chegou no final do mês, e todas hospedadas na amazon.

Mas gostaria de deixar bem claro que, nestes casos, a amazon não possui culpa nenhuma no cartório, pois os usuários deste tipo de serviço tem a obrigação de se informar sobre o que é cobrado e coberto.

O engraçado é que soluções web, providas by cloud, tiveram como discurso de venda a mitigação de ataques DDoS/DoS, mas esqueceram de informar aos seus clientes que isso tem um preço.

Atualização:

Uma botnet bem parametrizada e com acesso a um link total de uns 2Gb/s, tem a capacidade de fazer um estrago, e em poucas horas, de uns 10.000 até 20.000 dólares, para vcs terem ideia de como este tipo de ataque é sério.