janeiro 23, 2017

[Segurança] Como apenas 100 mil dispositivos podem derrubar a Internet?

Em 2016 vimos alguns ataques DDoS superar a marca recorde de 1 Tbps, um volume de dados capaz de tirar grandes empresas e até países inteiros do ar. Estes ataques tinham uma coisa em comum: utilizar uma botnet formada por milhares de pequenos dispositivos de IoT, como câmeras de vigilância. No final de outubro, uma botnet com cerca de 100 mil dispositivos IoT fez um ataque DDoS de 1,2 Tbps e derrubou o provedor de DNS Dyn e, num efeito dominó, deixou dezenas de sites inacessíveis..

A dúvida que surge naturalmente é: como pequenos dispositivos, com tão pouco poder de processamento, conseguem realizar um ataque DDoS de tamanha proporção?

Como vários ataques DDoS baseados em rede são volumétricos, o que inporta é, principalmente, a capacidade de gerar grande volume de tráfego - e não o poder de processamento do equipamento que está originando o ataque (seja ele um computador, um tablet ou um modem doméstico).

Por isso, um ataque pode ser fortalecido se...
  • Os dispositivos que estão atacando tiverem uma largura de banda grande - algo comum nas casas atuais. Assim, cada um deles consegue enviar um volume alto de pacotes de rede contra o alvo do ataque;
  • Se a botnet também utilizar ataques de amplificação, uma técnica que permite aumentar o volume de ataque no seu trajeto entre a origem e o alvo;
  • Por fim, o tamanho da botnet (número de hosts participando do ataque) também pode influênciar a eficiência do ataque ("pode", pois alguns ataques DDoS podem ser feitos a partir de poucos hosts).
Assim, a força de um ataque DDoS depende mais do tipo de ataque e da qualidade da conexão dos dispositivos que fazem parte da Botnet do que da do tipo de dispositivo infectado e da capacidade de processamento dele.

A botnet Mirai, no caso, é formada por dispositivos de diferentes fabricantes, como roteadores domésticos, câmeras de vigilância e gravadores digitais, etc. Além disso, ela é capaz de realizar diversos ataques DDoS do tipo "flood": GRE (Generic Routing Encapsulation) IP e ETH (Ethernet), SYN e ACK floods, STOMP (Simple Text Oriented Message Protocol) floods, e floods de DNS e de UDP.

Um comentário:

Hammed disse...
Este comentário foi removido por um administrador do blog.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.