fevereiro 13, 2014

[Segurança] Ataques DDoS cada vez mais parrudos

No ano passado a imprensa fez o maior estardalhaço por causa de uma série de ataque de DDoS que atingiu o site Spamhaus e chegou a um pico de 300 Gbps (gigabits por segundo), um valor absurdamente grande para a época.

Seria o fim da Internet? Vamos voltar a idade do lápis e papel? Idade da pedra?

Exageros a parte, o problema não para de crescer:

O super-hiper-mega ataque DDoS contra a Cloudfare, o maior registrado até o momento por enquanto, foi realizado por 4.529 servidores NTP rodando em 1.298 redes diferentes, apenas utilizando uma técnica já conhecida e que recebeu o nome de "NTP Reflection".



O "NTP Reflection" utiliza a técnica de amplificação de pacotes através do uso de servidores de Network Time Protocol (NTP) - veja também o alerta do US-CERT que descreve o ataque. É uma técnica conhecida, com direito até mesmo a script em Python no github. E, o pior: este ataque explora servidores NTP vulneráveis (versões inferiores a 4.2.7p26), para os quais existe correção desde abril de 2010. Para saber se o seu servidor NTP está vulnerável, visite a página do NTP Scanning Project.

Vários serviços baseados no protocolo UDP podem ser utilizados para realizar ataques de DDoS através da técnica de amplificação, principalmente o DNS e, como vimos agora, o NTP. Eles se aproveitam, primeiro, do fato de que o UDP permite enviar diversos pacotes independentes, sem controle do status da conexão (e, portanto, mais facilmente burláveis e mais difíceis de detectar e bloquear - quando sua ferramenta de segurança vê o pacote passar pela rede, no mesmo instante ele já chegou no destino), e também de vulnerabilidades nos protocolos que permitem a recepção e resposta a requisições de origem anônima ou com endereço IP falsificado. Desta forma, um atacante pode enviar um pacote UDP para um servidor, com endereço de origem falsificado para parecer com o da vítima, e o servidor vai responder diretamente para a vítima.

A amplificação acontece porque o pacote de resposta é maior do que o pacote original: no caso do DNS, para cada byte enviado, a resposta pode ter de 28 a 54 bytes. No caso do NTP, a resposta pode ser 556,9 vezes maior, segundo estimativas do US-CERT. Comparando os ataques contra a Cloudfare e contra Spamhaus no ano passado (30.956 DNS resolvers que geraram um ataque de 300Gbps), o uso do NTP Reflection permitiu um ataque 33% maior com apenas 1/7 do número de servidores vulneráveis.

A moral da história é que a cada dia surgem novas formas de ataques, o que faz com que tenhamos sempre que tomar cuidado com nossa infra-estrutura. Ataques gigantescos como o da Cloudfare são raros, felizmente, mas mostram como os limites dos atacantes são flexíveis e estão sempre aumentando o nosso risco. A Prolexic divulgou algumas estatísticas e um infográfico que resumem quais foram os maiores ataques DDoS que a empresa mitigou no ano passado:
  • Q1 2013: Ataque de 130 Gbps de banda direcionado a uma empresa de serviços financeiros 
  • Q2 2013: Ataque de 144 milhões de pacotes por segundo direcionado a uma empresa de serviços financeiros 
  • Q3 2013: Ataque de 111 Gbps direcionado a uma empresa de midia/entretenimento 
  • Q4 2013: Ataque de 179 Gbps direcionado a uma empresa de midia/entretenimento

Nota: este post foi enriquecido com várias referências que o Sandro Suffert compartilhou sobre o assunto em uma lista de discussão.
Nota 2: Post atualizado em 14/02, com correção de alguns erros de digitação.

2 comentários:

Anônimo disse...

Qual é a lista? qualquer um pode entrar ?

Rodrigo Rocha disse...

Ótimo artigo, parabéns. Escrevi um parecido, coincidentemente na mesma data. Caso queira ler também o meu e tecer comentários, segue o link http://goo.gl/IikvsJ .Mais uma vez parabéns.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.