Os ataques de Negação de Serviço (DoS) e Negação de Serviço Distribuídos (DDoS) se tornaram cada vez mais frequentes e, muitas vezes, são utilizados pelos hacktivistas como forma de protesto, ou inclusive realizadas pelas redes botnets que utilizam os equipamentos “zumbis” com essa finalidade. Leia o nosso post de hoje e saiba um pouco mais sobre o assunto.
O que é um ataque de DOS?
Um ataque de negação de serviço tem como propósito deixar um recurso específico totalmente inacessível (geralmente um servidor web). Esses ataques normalmente são realizados por meio de ferramentas que enviam uma grande quantidade de pacotes de forma automática com o objetivo de inundar os recursos do servidor, fazendo com que o próprio serviço fique inoperável. Além disso, também costumam envolver uma grande quantidade de pessoas para que o processo seja realizado de forma simultânea, ou seja, um ataque de negação de serviço distribuído, que muitas vezes é um pouco mais difícil de ser contido.
Quais são os métodos de defesa?
É importante verificar a configuração dos roteadores e firewalls para impedir IPs inválidas, assim como filtros de protocolos que não sejam necessários. Alguns firewalls e roteadores fornecem a opção de prevenir sobrecargas (floods) nos protocolos TCP/UDP. Além disso, sugerimos que você habilite a opção de logging (logs) para realizar um melhor controle das conexões que existem com os roteadores.
Como medida de resposta é necessário contar com um plano de resposta a incidentes. Caso ocorra algum fato desse tipo, cada pessoa dentra da organização saberá qual é a sua função específica.
Outras alternativas que se deve ter em conta é a solicitação de ajuda para o Provedor de Serviços de Internet (ISP). Isso pode ajudar a bloquear o tráfego mais próximo a sua origem sem que chegue à organização.
Outra opção é contar com um IDS/IPS (intrusión-detection/prevention system, que pode detectar o mal uso de protocolos válidos como possíveis vetores de ataque. Além disso, também é importante ter em conta a configuração dessas ferramentas. Isso deve ser feito por um profissional capacitado, mantendo (na medida do possível) as assinaturas desses dispositivos atualizadas. Vale destacar que é de suma importância analisar os casos de falsos positivos para realizar uma possível reconfiguração desses tipos de ferramentas.
Confira algumas dicas um pouco mais técnicas que podem ajudar:
- Limitar a taxa de tráfego proveniente de um único host.
- Limitar o número de conexões simultâneas com o servidor.
- Restringir o uso da capacidade da internet para aqueles hosts que cometam violações.
- Realizar um monitoramento das conexões TCP/UDP que ocorrem no servidor (permitindo identificar padrões de ataque).
Possivelmente esses tipos de ataques continuarão ocorrendo ao longo do tempo. Por isso, é necessário adotar medidas preventivas para tentar evitá-los, assim como também contar com os recursos necessários para o caso de que tenha que lidar com um ataque desse tipo.
Autor: Editor (ESET).