Acabei pegando este artigo do amigo Anchises e tenho mais alguns dados para acrescentar..

Dois relatórios divulgados há pouco tempo pela Kaspersky e pela Prolexic trazem algumas informações relevantes sobre os ataques distribuídos de negação de serviço (DDoS) que tem acontecido no mundo todo. Os ataques DDoS tem sido muito usados como ato de protesto por grupos hacktivistas em todo o mundo.

Em maio deste ano a Kaspersky divulgou alguns dados do seu sistema de monitoramento de botnets, chamado Kaspersky DDoS Prevention:

  • O ataque mais poderoso identificado pela Kaspersky no segundo semestre de 2011 foi 20% mais forte comparado ao ocorrido no primeiro semestre do ano passado, atingindo 600 Mbit/s. Em média, os ataques neste período foram de 110 Mbit/s, um aumento de 57% comparado ao semestre anterior.
  • Segundo a Kaspersky, o comércio eletrônico (lojas virtuais, leilões, sites de anúncios, entre outros) são os alvos mais frequentes dos ataques DDoS, representando 25% de todos os ataques registrados.
  • A técnica de ataque DDoS mais popular são os ataques de inundação (flood) HTTP, representando 80% dos ataques identificados.
  • Os pesquisadores da Kaspersky relatam uma migração dos ataques DDoS convencionais, baseados em grandes quantidades de tráfego, para ataques que exploram os recursos do servidor alvo. Esses ataques possibilitam a execução de ataques DDoS eficientes com um esforço mínimo do atacante, ou seja, sem a necessidade de usar grandes botnets.

Os principais dados divulgados pela Prolexic em Abril referente a ataques DDoS no primeiro semestre de 2012 são os seguintes:

  • No primeiro trimestre eles identificaram um aumento de 25 por cento no número total de ataques DDoS, quando comparado com o mesmo período do ano passado e um aumento de 25 por cento ano-a-ano em ataques DDoS na camada de aplicação.
  • Segundo a Prolexic, foram identificados volumes extremamente elevados de ataques direcionados as empresas do setor financeiro
  • No primeiro trimestre de 2011, a Prolexic identificou e mitigou 168 trilhões de bits de dados e 14 bilhões de pacotes de tráfego malicioso direcionados as empresas do setor financeiro (suas clientes), mas os números explodiram nos três primeiros meses deste ano, chegando a 5,7 quatrilhões de bits de dados e de 1,1 trilhões de pacotes maliciosos.
  • Os ataques a seus clientes financeiros tiveram menor tempo de duração, em geral, do que no ano passado. O tempo de duração dos ataques de DDoS caíram de uma média de 65 horas no primeiro trimestre de 2011 para 28,5 horas nos primeiros três meses de 2012.
  • A Prolexic também identificou uma mudança de tática dos atacantes, mudando de ataques de UDP flood para GET (Método HTTP) e SYN flood.
  • O principal país de origem de ataques DDoS permaneceu sendo China, mas os EUA e a Rússia “subiram no ranking.”

O fato que os ataques DDoS cresceram e muitos nesses últimos anos devido a dois simples motivos:

O aumento no número de pessoas com acesso à internet de alta velocidade. Estou falando de conexões de mais de 20Mb/s. Hoje, em SP, há conexões de 100Mb/s  por um pouco mais de R$ 200,00. Digamos que isso é um valor razoável e acessível para muita gente. Imaginem 100 pessoas em um mesmo prédio, com conexões de 100Mb/s – -a merda está feita ou será feita..

O segundo e último ponto é que realizar um ataque DDoS se tornou comum devido a quantidade de ferramentas disponíveis no mercado. A migração dos ataques da camada 4 para camada 7, falando em modelo de camadas OSI, aconteceu devido a evolução das defesas, estou falando de firewalls e roteadores. Se você trabalha em um provedor de hosting ou internet no Brasil, você sabe da quantidade de tráfego UDP que é bloqueado nesses equipamentos, daí a mudança de camada – firewalls e roteadores não seguram ataques slowloris, por exemplo.. Quem trabalha com Web sabe da importância de um Waf – web application firewall, não só para SQLinjection e xss, mas sim para proteger destes tipos de ataques..

Compartilhar:

Este post tem 6 comentários

  1. Seguinte seus últimos comentários Gustavo, seria possível usar o ModSecurity para mitigar esses problemas de mudança de tipo de ataque, da camada 4 para 7 ?

    Parabéns pelo seu blog. Até

  2. Sim Edson, até porque o Mod_security é um WAF – web applicaction firewall. O mod_security consegue proteger o apache de uma série de ataques Web, incluindo o noloris.

  3. Só para constar: Slowloris NÃO é DDoS, é um DOS! São coisas Diferentes! O Mod_security *NADA* pode fazer contra um ataque DDoS coordenado(como de uma(s) bootnet(s))!

  4. Não é a taxa de upload que conta na hora de um ataque DDoS? Digo, se o upload do atacante for maior que do atacado, o atacado roda!

    100 MB não derruba 100 MB.

  5. Excelente post, estava agora mesmo fazendo testes com slowris e vi esse post. Realmente dependendo da ferramenta sua banda não faz toda a diferença

Deixe uma resposta

Fechar Menu