No ano passado a imprensa fez o maior estardalhaço por causa de uma
série de ataque de DDoS que atingiu o site Spamhaus e chegou a um pico de 300 Gbps (gigabits por segundo), um valor absurdamente grande para a época.
Seria o fim da Internet? Vamos voltar a idade do lápis e papel? Idade da pedra?
Exageros a parte, o problema não para de crescer:
O super-hiper-mega ataque DDoS contra a Cloudfare, o maior registrado
até o momento por enquanto,
foi realizado por 4.529 servidores NTP rodando em 1.298 redes diferentes, apenas utilizando uma técnica já conhecida e que recebeu o nome de
"NTP Reflection".
O
"NTP Reflection" utiliza a técnica de
amplificação de pacotes através do uso de servidores de Network Time Protocol (NTP) - veja também o
alerta do US-CERT que descreve o ataque. É uma técnica conhecida, com direito até mesmo a script em Python no
github. E, o pior: este ataque explora servidores NTP vulneráveis (versões inferiores a 4.2.7p26), para os quais
existe correção desde abril de 2010. Para saber se o seu servidor NTP está vulnerável, visite a página do
NTP Scanning Project.
Vários serviços baseados no protocolo UDP podem ser utilizados para realizar
ataques de DDoS através da técnica de amplificação, principalmente o DNS e, como vimos agora, o NTP. Eles se aproveitam, primeiro, do fato de que o UDP permite enviar diversos pacotes independentes, sem controle do status da conexão (e, portanto, mais facilmente burláveis e mais difíceis de detectar e bloquear - quando sua ferramenta de segurança vê o pacote passar pela rede, no mesmo instante ele já chegou no destino), e também de vulnerabilidades nos protocolos que permitem a recepção e resposta a requisições de origem anônima ou com endereço IP falsificado. Desta forma, um atacante pode enviar um pacote UDP para um servidor, com endereço de origem falsificado para parecer com o da vítima, e o servidor vai responder diretamente para a vítima.
A amplificação acontece porque o pacote de resposta é maior do que o pacote original: no caso do DNS, para cada byte enviado, a resposta pode ter de 28 a 54 bytes. No caso do NTP, a resposta pode ser 556,9 vezes maior, segundo estimativas do
US-CERT. Comparando os ataques contra a Cloudfare e contra Spamhaus no ano passado (30.956 DNS resolvers que geraram um ataque de 300Gbps), o uso do NTP Reflection permitiu um ataque 33% maior com apenas 1/7 do número de servidores vulneráveis.
A moral da história é que a cada dia surgem novas formas de ataques, o que faz com que tenhamos sempre que tomar cuidado com nossa infra-estrutura. Ataques gigantescos como o da Cloudfare são raros, felizmente, mas mostram como os limites dos atacantes são flexíveis e estão sempre aumentando o nosso risco. A Prolexic
divulgou
algumas estatísticas e um infográfico que resumem quais foram os maiores ataques DDoS que a empresa mitigou no ano passado:
- Q1 2013: Ataque de 130 Gbps de banda direcionado a uma empresa de serviços financeiros
- Q2 2013: Ataque de 144 milhões de pacotes por segundo direcionado a uma empresa de serviços financeiros
- Q3 2013: Ataque de 111 Gbps direcionado a uma empresa de midia/entretenimento
- Q4 2013: Ataque de 179 Gbps direcionado a uma empresa de midia/entretenimento
Nota: este post foi enriquecido com várias referências que o
Sandro Suffert compartilhou sobre o assunto em uma lista de discussão.
Nota 2: Post atualizado em 14/02, com correção de alguns erros de digitação.
