Posted on

Ataques DDoS: O que são e como fazer DDoS

, Author

Updated 10/6/2020

Um ataque DDoS (Distributed Denial-of-Service) é muito semelhante a um ataque DoS (Denial-of-Service), com a única diferença de que o mesmo ataque é feito por muitas pessoas diferentes (ou botnets) exatamente ao mesmo tempo. Portanto, DDoS é tudo uma questão de escala.

Depois de selecionar um serviço para o alvo, siga estes cinco passos para montar um ataque DoS:

  1. Lançar uma ferramenta DoS, como LOIC.

  2. Especifique o endereço IP do servidor que você quer atacar.

  3. Selecione uma porta que você sabe que está aberta e que aceita conexões de entrada.

  4. Selecione TCP.

  5. Clique no botão para iniciar o ataque.

Para montar um ataque DDoS, faça o mesmo que para um ataque DoS, exceto com a ferramenta HOIC. Isto é como fazer DDoS:

  1. Localizar e escolher um serviço.

  2. Selecionar uma porta aberta.

  3. Localizar HOIC.

  4. Incrementar as roscas.

  5. Alvo a URL desejada.

  6. Increase the Power to High.

  7. Selecione seu Booster.

  8. Montem o ataque.

Primeiro ataque DoS para que um ataque DDoS possa ser melhor compreendido.

O que é um ataque de Negação de Serviço (DoS)?

DoS é um ataque cibernético concebido para sobrecarregar um serviço online, fazer o seu sistema falhar, negando assim serviço a clientes, empregados, etc. Para conseguir um ataque DoS, tudo que você tem que fazer é:

  1. Localizar e escolher um serviço para o alvo.

  2. Selecionar uma porta aberta.

  3. Overwhelm o serviço.

No seu núcleo, um ataque DoS é muito simples e direto de se conseguir. A verdadeira questão aqui é se você tem escala suficiente para sobrecarregar o seu sistema alvo.

Aqui está uma quebra de cada passo.

Localizar e escolher um serviço para o alvo

O primeiro passo para montar um DoS é encontrar um serviço que você pode alvejar. Isso precisaria ser algo com portas abertas e vulnerabilidades, e que aceitaria conexões de entrada.

Alguns dos serviços que podem satisfazer estes critérios são:

  • Servidores web

  • Servidores DNS

  • Servidores de e-mail

  • Servidores FTP

  • Servidores Telnet

O que torna esses serviços tão fáceis de serem alvo é que eles aceitam conexões não autenticadas.

Selecione uma porta aberta

Veja uma lista de portas abertas no Windows abrindo a linha de comando do DOS, digitando netstat, e pressionando Enter. Para ver as portas com as quais um computador se comunica, digite netstat -an |find /i “established”.

Configurações de portas variam programa por programa, mas a idéia geral é a mesma em toda a linha. Ao tentar acessar uma porta, você saberá que ela não está acessível se “Connecting…” estiver pendurada e então a janela vai embora. Se estiver acessível, você terá uma janela vazia ou verá um texto semelhante a “220 ESMTP falado aqui”.”

Se preferir, aqui estão três ferramentas que você pode usar para encontrar portas abertas:

  1. Telnet

  2. CurrPorts

  3. TCPEye

Overwhelm the Service

De facto, você escolheria um serviço que não tem um limite máximo para o número de conexões que ele permite. A melhor maneira de descobrir se um serviço não tem um limite superior é enviá-lo algumas centenas de milhares de conexões e depois observar o que acontece.

Para alcançar o efeito ideal, você deve enviar consultas e informações específicas. Por exemplo, se você estiver visando um servidor web com um mecanismo de busca, não solicite apenas uma página web ou pressione F5 um monte de vezes. Solicite uma consulta de pesquisa complexa que vai consumir uma quantidade significativa de cavalos de potência para resolver. Se fazer isso apenas uma vez causar um impacto notável no backend, então fazer isso centenas de vezes por segundo provavelmente irá derrubar o servidor.

Você pode fazer a mesma coisa contra um servidor DNS. Você pode forçá-lo a resolver consultas complexas de DNS que não estejam em cache. Faça-o com frequência suficiente e isso irá derrubar o servidor.

Para um serviço de e-mail, você pode enviar muitos anexos de e-mail grandes, se você puder obter uma conta legítima em seu servidor. Se você não conseguir, é muito fácil falsificá-lo.

Se você não conseguir direcionar nenhum serviço específico, você pode simplesmente inundar um host com tráfego, exceto que o ataque pode não ser tão elegante e certamente exigiria um pouco mais de tráfego.

Após ter sobrecarregado o sistema, o ambiente está preparado para um ataque.

Como montar um ataque DoS

Após ter feito os processos de footprinting, scan e enumeração da rede, deve ter uma boa ideia do que se passa na rede que está a alvejar. Aqui está um exemplo de um sistema em particular que você gostaria de atacar. É 192.168.1.16 (um Controlador de Domínio Windows 2008 e servidor web).

Para atacá-lo, siga estes 5 passos:

1. Inicie sua ferramenta favorita para atacar sistemas. Eu gosto do Low Orbit Ion Cannon (LOIC). Esta é a ferramenta mais fácil de entender porque é bastante óbvio o que está fazendo.

Outras ferramentas DoS que podem ser usadas para atacar incluem XOIC, HULK, DDOSIM, R.U.D.Y., e Tor’s Hammer.

2. Especifique o endereço IP do servidor que você quer atacar, que neste caso é 192.168.1.16. Bloqueie nele.

3. Escolha uma porta que você sabe que está aberta e que aceita conexões de entrada. Por exemplo, escolha a porta 80 para montar um ataque baseado na web.

4. Seleccione TCP para especificar quais os recursos a bloquear.

5. Clique no botão para montar o ataque.

Você verá os dados solicitados aumentando rapidamente.

Os aumentos de dados podem eventualmente começar a abrandar um pouco, parcialmente porque estará a consumir recursos no cliente, e também porque o próprio servidor estaria a ficar sem recursos ou a começar a defender-se contra o seu ataque.

O que fazer quando o Host começar a defender-se

Alguns hosts podem ser configurados para procurar padrões, identificar ataques, e começar a defender-se. Para contrariar a defesa deles, você pode:

  1. Parar o ataque momentaneamente (clicando no mesmo botão que você clicou para montar o ataque).

  2. Mudar a porta que você está atacando.

  3. Mude um pouco o ataque, o que acrescenta confusão.

No nosso exemplo, você vai mudar a porta da porta 80 para a porta 88 (se você revisar a captura de tela no Advanced Port Scanner, você verá que a porta 88 também está aberta). Assim que terminar de alterar as configurações, você pode retomar o ataque clicando novamente no botão de ataque.

Você agora está atacando uma porta diferente (o que equivale a um serviço diferente) de uma maneira ligeiramente diferente e com uma velocidade diferente. A velocidade só é importante se você estiver atacando de um cliente.

É assim que um ataque seria quando você faz esse tipo de DoS de apenas uma máquina.

O que é um Ataque DDoS? Atacar múltiplos clientes de uma vez

Um ataque DDoS (Distributed Denial of Service) é realizado com o objetivo de derrubar um site ou serviço, inundando-o com mais informações ou processamento do que o site pode lidar. É praticamente o mesmo que um ataque DDoS, a diferença é que é realizado por muitas máquinas diferentes ao mesmo tempo.

Dependente da situação, um cliente atacando desta forma pode ou não afectar imediatamente a performance do servidor, mas um ataque DDoS não tem que parar com apenas um cliente. Tipicamente, você montaria este ataque contra diferentes portas em momentos diferentes, e tentaria fazer um footprint se suas ações estão afetando os serviços. Melhor ainda, ele desligará o servidor.

Se o ataque estiver produzindo o efeito desejado, você poderia escalá-lo rodando o LOIC em uma dúzia (ou mesmo centenas) de máquinas ao mesmo tempo. Muita desta acção pode ser escalada, o que significa que você pode capturar o tráfego e reproduzi-lo na linha de comando em diferentes alvos. Ou, você pode jogá-lo como parte de um script de diferentes atacantes, que podem ser seus pares, seus zumbis, ou ambos. Muitas vezes, malware (botnets, explorados abaixo) é usado para lançar os ataques porque o malware pode ser cronometrado para ser lançado exatamente no mesmo momento.

É quando a velocidade se torna menos importante porque você tem uma centena de clientes diferentes atacando ao mesmo tempo. Você pode desacelerar as coisas em cada cliente individual e ainda ser capaz de montar um ataque bastante eficaz.

A tela seria a mesma em cada máquina individual se você montasse o ataque a partir de centenas ou milhares de máquinas, como se você estivesse fazendo em uma única máquina.

O que é uma Botnet?

Como explicado pela Internet Society:

“Uma botnet é uma coleção de computadores de usuários conectados à Internet (bots) infectados por software malicioso (malware) que permite que os computadores sejam controlados remotamente por um operador (bot herder) através de um servidor de Comando e Controle (C&C) para realizar tarefas automatizadas em dispositivos que estão conectados a muitos computadores, como roubar informações ou lançar ataques em outros computadores. O malware de botnet é projetado para dar aos seus operadores o controle de muitos computadores de usuários ao mesmo tempo. Isto permite aos operadores de botnets usar recursos de computação e largura de banda em muitas redes diferentes para atividades maliciosas”

Embora uma grande ajuda aos hackers, as botnets são mais um flagelo para grande parte da sociedade online. Botnets:

  • Pode ser espalhado por grandes distâncias, mesmo operando em diferentes países.

  • Reduzir a abertura, inovação e alcance global da internet.

  • Imprimir direitos fundamentais do usuário, bloqueando a liberdade de expressão e opinião, e violando a privacidade.

Como fazer um ataque DDoS

Para montar mais de 256 ataques DDoS simultâneos que derrubarão um sistema, uma equipe de vários usuários pode usar o High Orbit Ion Cannon (HOIC) ao mesmo tempo, e você pode empregar o script “booster” add-on.

Para fazer um ataque DDoS, encontre e escolha um serviço, selecione uma porta aberta, e sobrecarregue o serviço seguindo estes passos:

  1. Launch HOIC.

  2. Increase the Threads.

  3. Atenha o URL desejado.

  4. Increase the Power to High.

  5. Selecione seu Booster.

  6. Montem o ataque.

Por que Hackers Ilegais Fazem Ataques DoS e DDoS?

Ataques DoS e ataques DDoS são excessivamente destrutivos e podem levar algum trabalho para lançar, mas são usados por criminosos cibernéticos como arma para usar contra um concorrente, como uma forma de extorsão, ou como uma cortina de fumo para esconder a extração de dados sensíveis.

Também, por vezes são montados ataques por uma ou mais destas razões:

  • Guerra de relva baseada na Internet.

  • Uma expressão de raiva ou um castigo.

  • Prática, ou apenas para ver se pode ser feita.

  • Para o “divertimento” de causar caos.

O dano causado pelos ataques DDoS é extremamente significativo. Cisco relatou alguns fatos e estimativas de abertura dos olhos:

  • O número de ataques globais de DDoS irá dobrar de 7,9 milhões em 2018 para 15,4 milhões em 2023.

  • O tamanho médio de um ataque DDoS é de 1 Gbps, o que pode deixar uma organização completamente offline.

A pesquisa ITIC de 2019 descobriu que “uma única hora de inatividade agora custa 98% das empresas pelo menos $100.000″. E 86% das empresas dizem que o custo de uma hora de inatividade é de $300.000 ou mais”. Trinta e quatro por cento dizem que custa de 1 milhão a 5 milhões de dólares para ficar inactivo durante uma hora.

Um exemplo recente de um ataque DDoS é o ataque dos Serviços Web da Amazon em Fevereiro de 2020. O gigante da computação em nuvem foi alvo e enviado a um impressionante 2,3 terabytes de dados por segundo durante três dias seguidos.

Se você quiser navegar pelos ataques mundiais que ocorrem em tempo real (ou perto dele), veja um mapa de ameaças de ataques cibernéticos.

Como proteger seu negócio de ataques DoS e DDoS

Para proteger seu negócio de ataques DoS e DDoS, aqui estão algumas recomendações:

  1. Instalar software de segurança e mantê-lo atualizado com os últimos patches.

  2. Segurar todas as senhas.

  3. Utilizar serviços anti-DDoS para reconhecer picos legítimos no tráfego de rede, versus um ataque.

  4. Disponha um ISP de backup para que seu provedor de ISP possa redirecionar seu tráfego.

  5. Utilize serviços que dispersam tráfego de ataque massivo entre uma rede de servidores.

  6. Atualize e configure seus firewalls e roteadores para rejeitar tráfego fraudulento.

  7. Integre o hardware front-end da aplicação para selecionar e classificar pacotes.

  8. Utilize um sistema de IA auto-aprendizagem que roteia e analisa o tráfego antes que ele chegue aos computadores da empresa.

  9. Implemente um hacker ético para procurar e encontrar pontos desprotegidos em seu sistema.

É uma tarefa difícil proteger seu negócio de ataques DoS e DDoS, mas determinar suas vulnerabilidades, ter um plano de defesa, e chegar com táticas de mitigação são elementos essenciais de segurança de rede.

Saiba mais sobre Ethical Hacking

Hacking é uma ferramenta importante e valiosa usada por profissionais de segurança de TI na sua luta contra as caras e potencialmente devastadoras violações cibernéticas. Ele usa técnicas de hacking para obter informações sobre a eficácia do software de segurança e políticas para que uma melhor proteção das redes possa ser decretada.

Os princípios básicos a seguir quando hackear legalmente são:

  • Nunca use seu conhecimento para ganho pessoal.

  • Apenas o faça quando lhe for dado o direito.

  • Não use software pirata em seus ataques.

  • Sempre tenha integridade e seja confiável.

Deixe uma resposta

O seu endereço de email não será publicado.