Ataques DDoS (Ataques de Negação de Serviço Distribuídos)

V SRST SEMINÁRIO DE REDES E SISTEMAS DE TELECOMUNICAÇÕES INSTITUTO NACIONAL DE TELECOMUNICAÇÕES INATEL ISSN 2358-1913 MARÇO DE 2017 Ataques DDoS (Ataques de Negação de Serviço Distribuídos) Káren Bartholo Furlan 1, Guilherme Rezende dos Santos 2 Abstract The DDoS attacks (Distributed Denial of Service Attacks), explore the vulnerability of protocols and send many service requests to a system in a synchronized way, in order to cause their unavailability. Due to the complexity of the attack structure, they are among the most difficult ones to be prevented, detected and controlled. The main purpose of this study is to describe the structure of these attacks, their types and security measures used to detect, analyze and mitigate these attacks. Index Terms - Distributed Denial-of-Service, Attacks, DDoS, Security Controls, Availability. Resumo - Os Ataques DDoS (Distributed Denial of Service Attacks), exploram a vulnerabilidade de protocolos e enviam inúmeras requisições de serviço à um sistema de forma sincronizada, com o objetivo de causar sua indisponibilidade. Pela complexidade da sua estrutura de ataque, estão entre os mais difíceis de serem prevenidos, detectados e controlados. Dentro deste contexto, este trabalho tem o objetivo de descrever a estrutura destes ataques, alguns tipos de ataque e as medidas de segurança utilizadas para detectar, analisar e mitigar estes ataques. Palavras chave Ataques, Negação de Serviço Distribuída, DDoS, Disponibilidade. I. INTRODUÇÃO Por definição, um ataque tem o objetivo de manipular ou monitorar um sistema. Os mais difíceis de serem identificados são os ataques passivos, utilizados em sua maioria apenas para monitorar um canal de comunicação, acessando informações deste sistema sem alterá-las. Já os ataques classificados como ativos, visam modificar ou excluir dados, comprometendo a disponibilidade e/ou a integridade das informações. Pela complexidade da sua estrutura, os ataques DDoS (Distributed Denial-of-Service), estão entre os mais difíceis de serem prevenidos, detectados e controlados. Estes ataques exploram a vulnerabilidade de protocolos e aplicações enviando inúmeras requisições a um sistema, originadas a partir de diferentes origens com o objetivo de causar a sua indisponibilidade. Estes ataques já ameaçam as áreas de segurança de várias organizações desde o início dos anos 2000, mas começou a ser Trabalho de Conclusão de Curso apresentado ao Instituto Nacional de Telecomunicações, como parte dos requisitos para a obtenção do Certificado de Pós-Graduação em Engenharia de Redes e Sistemas de Telecomunicações. Orientador: Prof. Guilherme Rezende dos Santos. Trabalho aprovado em 11/2016. reconhecido mundialmente quando um grupo de hackers realizou um grande ataque atingindo os sites da CNN, ebay e o Yahoo, deixando-os inoperantes por algumas horas [1]. Nos dias de hoje os ataques de DDoS estão entre os mais utilizados contra organizações de todo o mundo. Segundo divulgou a Verisign em seu relatório, no último trimestre de 2015, houve um aumento de 85% destes ataques comparado o mesmo período de 2014. Neste mesmo período, foi registrado o ataque de inundação mais rápido com o envio de 125Mbps e um ataque volumétrico de 65Gbps [9]. O aumento considerável na ocorrência deste tipo de ataque observado nos últimos anos é o que tem motivado cada vez mais as organizações a investirem em tecnologias para detectar, mitigar e controlar estes ataques, a fim de minimizar sua ocorrência e o impacto em suas operações. Dentro deste contexto, este trabalho tem o objetivo de detalhar estes ataques, desde a forma são originados, suas possíveis motivações, a forma como são realizados, alguns tipos de ataques e as medidas de segurança utilizadas para detecção, análise e mitigação destes ataques. II. FUNDAMENTAÇÃO DO TEMA O ataque DDoS é estabelecido quando ocorrem dois conceitos de forma simultânea, intrusão distribuída e a negação de serviços. A intrusão distribuída pode ser observada pelo fato destes ataques serem originados a partir de centenas ou até milhares de computadores conectados pela Internet, com o mesmo objetivo de acessar um determinado recurso do alvo escolhido, em um mesmo instante. Quando o alvo é atingido, os seus recursos são esgotados, deixando-o indisponível ao acesso dos seus usuários legítimos, estabelecendo o que é denominado estado de negação de serviços. Como o principal objetivo deste ataque não é a invasão de um sistema e sim provocar a sua indisponibilidade, qualquer computador, servidor ou sistema acessível via Internet pode ser atacado. Alguns dos principais alvos são sites de jogos, comércio eletrônico, bancos, governo, notícias, partidos políticos, grandes eventos e patrocinadores. As motivações para este tipo de ataque vão desde de ideologias partidárias e religiosas, hacktivismo, vandalismo até retaliação, extorsão, concorrência desleal, etc. O impacto causado por estes ataques na maior parte das vezes se traduz em perda financeira, pois os serviços prestados pela instituição atingida não poderão ser acessados por seus usuários, podendo vir até mesmo prejudicar a imagem e a credibilidade desta instituição, uma vez que os reflexos do ataque na sua operação serão a lentidão de acesso aos recursos, processamento de transações ou até mesmo

indisponibilidade total de sua infraestrutura ou do serviço ofertado. De uma forma geral, o ataque de DDoS é composto por um atacante, os mestres, os sistemas comprometidos (escravos ou zumbis, conhecidos como Botnet) e o alvo escolhido (a vítima do ataque), como podem ser visualizados na Figura 1: A partir deste ponto, o atacante já possui uma lista com os endereços IP de todos os computadores selecionados para o ataque e prossegue com a instalação dos aplicativos necessários para estabelecer o acesso remoto, como softwares Clients (programas instalados nos computadores dos mestres para receber as ordens do atacante instruir os seus sistemas comprometidos) e Daemons (programas instalados nos computadores dos sistemas comprometidos para receber as ordens dos mestres e executar os ataques). Com a conexão remota estabelecida, os Daemons anunciam ao respectivo Client que estão ativos e em estado de espera pelas próximas instruções. Os Clients registram os endereços IP dos computadores que estão sob o seu comando e aguardam pelo OK do atacante para prosseguir. III. CLASSIFICAÇÃO DOS ATAQUES A Figura 2 ilustra as formas como podem ser classificados os ataques DDoS. Os ataques podem ser classificados quanto ao nível de automação, tipo de vulnerabilidade, frequência e impacto. FIG. 1: A estrutura hierárquica de um ataque DDoS. A Figura 1 ilustra uma estrutura hierárquica de um ataque DDoS, onde o atacante (I) é o computador que origina o ataque e tem sobre seu comando os mestres (II), que são os computadores que recebem as ordens do atacante e as repassam para todos os computadores, que estão sob o seu controle. São estes os sistemas comprometidos (III) que executam o ataque contra o alvo definido inicialmente pelo atacante, seguindo as orientações enviadas pelos respectivos mestres. Em muitos dos casos, os usuários que compõem essa estrutura não percebem que fazem parte de um ataque. O último componente desta estrutura é a vítima (IV) que é o computador ou servidor que será o alvo do ataque. A organização destes sistemas comprometidos e mestres pode ser alterada de acordo com o tipo do ataque, que será detalhada ao longo deste trabalho. Ao planejar o ataque, inicialmente é definido quais serão os alvos a serem atingidos. A partir deste ponto, inicia-se uma busca pelos sistemas comprometidos, de acordo com a hierarquia apresentada na Figura 1. O critério utilizado geralmente é buscar por computadores que estejam conectados à rede com alta velocidade de conexão e/ou baixo nível de monitoramento. Esta busca por sistemas comprometidos ocorre geralmente através de programas maliciosos automatizados, tais como worms, que podem verificar possíveis computadores vulneráveis de forma automática. Alguns programas utilizados nesta fase de identificação são capazes de replicar automaticamente este processo, para procurar outros possíveis sistemas vulneráveis, tornando este novo sistema comprometido um novo mestre para a rede que será construída abaixo dele e assim sucessivamente. Em decorrência desta auto propagação, uma grande rede de ataque pode ser construída rapidamente. FIG. 2: Níveis de classificação dos ataques DDoS. A Automação é o critério que define a forma como a rede de ataque é estabelecida. Pode ser de forma manual, semiautomática ou automática. A forma manual ocorre quando todo o processo de identificação e preparo dos possíveis dispositivos que serão comprometidos para o ataque, são realizados manualmente pelo atacante. Esta técnica já não é muito utilizada, tendo em vista as facilidades encontradas para automatizar este processo. A forma semi-automática ocorre quando é utilizado um canal de comunicação entre o atacante e os dispositivos comprometidos para estabelecer o ataque, ou seja, os dispositivos comprometidos precisam informar a sua disponibilidade para iniciar o ataque, assim como o atacante precisa informar as instruções necessárias. Quando esta comunicação utiliza a própria rede utilizando apenas os endereços IP comunicantes é estabelecida uma comunicação direta. Quando esta comunicação utiliza canais intermediários como canais IRC (Internet Relay Chat) e outros canais específicos como, por exemplo, o Twitter [5], diz-se que foi estabelecida uma comunicação indireta. Na forma automática, todo o estabelecimento da rede de ataque ocorre a partir de um único comando do atacante. Esta

é a opção onde o atacante minimiza a sua exposição, tornando a sua identificação mais difícil para os mecanismos de detecção. Tanto os ataques semi-automáticos quanto os automáticos ainda podem ser classificados por estratégia de escaneamento de endereços IP. Na estratégia de escaneamento randômico, é definido um bloco de endereço IP para efetuar o ataque. Cada novo dispositivo comprometido corresponde a um destes endereços e fica responsável por replicar este procedimento aos novos dispositivos. A escolha do endereço IP ocorre de forma aleatória dentro do bloco definido. Na estratégia de escaneamento de lista, é definida uma lista com endereços válidos para a realização do recrutamento de novos dispositivos. Ao assumir o controle de um novo dispositivo, este receberá uma parte da lista inicial de endereços, para que prossiga com o processo de recrutamento da mesma forma. Na estratégia de escaneamento de topologia, ao estabelecer o controle de um novo dispositivo, são utilizadas informações contidas neste dispositivo para prosseguir com o recrutamento, por exemplo, lista de contatos de e-mails. Na estratégia de escaneamento de sub-rede local, ao estabelecer o controle de um novo dispositivo, o ataque se estende para os demais dispositivos pertencentes a esta subrede. Como é estratégico para o atacante manter o seu anonimato durante a realização de um ataque, é comum a utilização de técnicas para ocultar seu endereço IP de origem, como por exemplo, a utilização de um servidor de proxy anônimo. Desta forma, qualquer acesso realizado pelo atacante será registrado com o endereço IP do servidor de proxy anônimo. Outra forma do atacante manter seu anonimato é através da técnica de IP Spoofing, onde o endereço IP do atacante é alterado para endereços inválidos ou inalcançáveis. Quanto à vulnerabilidade, os ataques podem explorar características específicas ou erros de operação de algum protocolo presente no sistema da vítima, com o objetivo de esgotar os seus recursos. A classificação com relação à frequência ou taxa na qual o ataque é realizado é divida em contínua ou variável. Na primeira, as requisições são enviadas à vítima de forma contínua, com o intuito de consumir seus recursos no menor tempo possível, sobrecarregando seus serviços ou até mesmo sua indisponibilidade. Esta é a forma mais rápida e ao mesmo tempo de mais fácil detecção pelos mecanismos de proteção. Quando a taxa de ataque é variável, a intensidade com que a vítima é atingida pode variar. A taxa deste ataque pode ser crescente, quando o volume de requisições enviadas a vítima cresce de acordo com o tempo até esgotar a largura de banda ou os recursos do sistema, ou pode ser flutuante quando a taxa de envio de dos pacotes contra o sistema da vítima é ajustada de acordo com o comportamento deste sistema. Dependendo da efetividade do ataque realizado e seu impacto, pode ser classificado como ataque interruptivo ou degradante. No ataque interruptivo o resultado final do ataque é a indisponibilidade total dos serviços da vítima. Já os ataques degradantes apenas prejudicam a operação da vítima, não causando a indisponibilidade total de seus serviços. Este tipo de ataque pode não ser percebido por um longo período, pois outros fatores como problemas de infraestrutura dos sistemas da vítima que podem ser confundidos com isso. IV. TIPOS DE ATAQUES DDOS Dentre os inúmeros tipos de ataques possíveis, destacam-se os ataques à camada de aplicação, ataques por exploração de protocolo e os ataques volumétricos com ampliação e reflexão de tráfego. O ataque pode ser realizado individualmente ou combinando mais de um tipo dos ataques citados acima. Por exemplo, o atacante pode realizar um ataque apenas à camada de aplicação ou combiná-lo com um ataque volumétrico para gerar um impacto maior ao seu alvo. Os ataques à camada de aplicação são os ataques que exploram as características específicas de uma aplicação ou serviço com o objetivo de torna-lo indisponível. Por este motivo é necessário que se tenha um conhecimento profundo sobre o site alvo e/ou sua aplicação durante a fase de planejamento. Caso o sistema da vítima não tenha sido bem dimensionado ou configurado, este tipo de ataque pode saturar os seus recursos, excedendo o número máximo de requisições que este pode processar. Como o tráfego malicioso gerado por este ataque pode ser facilmente confundido com o tráfego legítimo, este ataque é de difícil detecção e mitigação. Os ataques mais comuns enquadrados como ataques à camada de aplicação são HTTP Flood e SIP Flood. A. HTTP Flood O HTTP (Hypertext Transfer Protocol) baseia-se em uma atividade de requisição e resposta. Quando um usuário se conecta a um site, ele estabelece uma conexão TCP (Transmission Control Protocol) com o servidor onde o site está hospedado, antes de ocorrer qualquer tipo de transferência de dados, como pode ser observada na Figura 3. FIG. 3: Processo de estabelecimento de uma conexão TCP padrão. Na Figura 3, apresenta o estabelecimento de uma conexão TCP através do Three-Way Handshake, na qual usuário que deseja estabelecer a conexão envia um pacote SYN para o servidor e aguarda pelo recebimento do pacote de confirmação SYN-ACK. Quando esta confirmação é recebida pelo usuário, este envia um pacote de confirmação final ACK ao servidor e com isso a conexão é estabelecida entre as partes. As chamadas HTTP são feitas através de dois tipos de requisição, GET e POST. O GET é utilizado para obter conteúdos estáticos, como imagens. Por outro lado o POST é utilizado para acessar conteúdos gerados dinamicamente. Os ataques HTTP Flood requerem dos atacantes conhecimentos específicos da aplicação para qual o ataque

será direcionado. Dependendo da requisição enviada o servidor alocará grande parte de seus recursos para processala. Essa característica faz com que na maior parte dos ataques as requisições realizadas sejam utilizando POST. A negação do serviço se dará uma vez que o servidor alocar todos os seus recursos disponíveis para tratar tais requisições, impossibilitando o atendimento de qualquer nova requisição. Uma vez que o alvo é a aplicação não é necessário um grande número de requisições para tornar seus recursos indisponíveis. B. SIP Flood O SIP (Session Initiation Protocol) é um protocolo baseado em requisições e respostas, utilizado na comunicação de voz sobre IP (VoIP). Sua estrutura de comunicação é muito similar ao HTTP. Esta semelhança faz do protocolo SIP um dos principais alvos dos atacantes. Em um ataque SIP Flood o atacante sobrecarrega o Proxy SIP com inúmeros pacotes de convites (invite). O grande volume de requisições ao Proxy SIP causará degradação da rede, impossibilitando o atendimento de requisições válidas e, consequentemente, tornando o serviço indisponível. Na grande maioria dos ataques é utilizado a técnica de IP Spoofing, na qual o endereço de origem das conexões é alterado por endereços inválidos fazendo com que as respostas nunca alcancem seus destinos. C. TCP SYN Flood O ataque TCP SYN Flood é caracterizado através do envio de inúmeras requisições SYN pelo atacante muito mais rápido do que o servidor alvo é capaz de responder. Muitas dessas requisições são enviadas através de endereços IP inválidos, através da técnica de IP Spoofing. O servidor ao tentar responder a essas requisições, enviará respostas SYN-ACK a destinos inválidos e inalcançáveis e ficará aguardando a resposta ACK para estabelecimento da conexão, porém essa resposta nunca será enviada. Isso faz com que o servidor mantenha diversas conexões semiabertas até estourar seu limite de conexões e impedindo-o de atender a novas requisições. FIG. 4: Processo de estabelecimento de um ataque TCP SYN Flood. Na Figura 4, pode-se observar que enquanto o atacante não enviar o pacote de confirmação final (ACK) ao servidor, a conexão permanece parcialmente aberta, até atingir o período de tempo limite da conexão (timeout). erros, ocorrências inesperadas ou outros diagnósticos de rede, por exemplo quando o destino é inatingível (ICMP TYPE 3), tempo excedido (ICMP TYPE 11) e no caso onde é necessário apurar a rota que um pacote entre a origem e destino da conexão (Traceroute). Em um ataque ICMP Flood, o atacante envia um alto volume de mensagens de echo request sem esperar pelo recebimento das mensagens de echo replay, fazendo que o meio de rede fique congestionado. Em algumas variações deste tipo de ataque, os atacantes utilizam a técnica de IP Spoofing com o endereço IP da vítima como origem para enviar diversas requisições ICMP para um endereço de broadcast. Assim todas as respostas ICMP serão encaminhadas para o endereço da vítima, tornando-a, na maioria das vezes indisponível. A negação do serviço será estabelecida pelo alto consumo de recursos da CPU da vítima, durante este processo ou por sobrecarga do roteamento destas requisições consumindo largura de banda da vítima. A Figura 5 apresenta a forma como se estabelece um ataque DDoS utilizando o protocolo ICMP com requisições broadcast. FIG. 5: ICMP Flood. E. UDP Flood Este tipo de ataque ocorre de forma semelhante ao ICMP Flood, porém o atacante envia inúmeros pacotes UDP (User Datagram Protocol) para portas aleatórias do servidor da vítima. Este servidor ao receber estes pacotes UDP, tenta identificar qual é a aplicação correspondente a cada pacote e uma vez não encontrado, envia ao endereço IP de origem uma resposta ICMP Destination Unreachable. Neste tipo de ataque, os atacantes também utilizam a técnica de IP Spoofing fazendo com que essas respostas nunca cheguem a seus destinos. Quanto maior o número de requisições maior será o consumo de recursos do servidor da vítima e maior o tempo de resposta para cada requisição, degradando cada vez mais a capacidade da vítima em atender as requisições válidas levando até sua indisponibilidade total. Na Figura 6, pode-se observar a forma como um ataque de negação de serviço utilizando UDP Flood é estabelecido. D. ICMP Flood O ICMP (Internet Control Message Protocol) é utilizado para permitir a comunicação entre redes no intuito de detectar

A figura 8 apresenta um ataque DRDoS utilizando servidores DNS (Domain Name System). FIG. 6: UDP Flood. F. DRDoS (Distributed Reflective Denial of Service) Estes ataques exploram as características de alguns protocolos cujo recurso de reflexão de tráfego pode ser utilizado. Neste ataque são inseridos novos elementos na sua estrutura de ataque. Os refletores podem ser roteadores ou servidores WEB capazes de responder a uma determinada requisição. A Figura 7 ilustra uma estrutura hierárquica de um ataque DRDoS, constituída do atacante (I), mestres (II), refletores (III) e a vítima deste ataque (IV). FIG. 7: A estrutura hierárquica de um ataque DRDoS. Pelo fato do ataque DRDoS ser composto por diversos refletores de tráfego, é muito difícil identificar o endereço IP de origem do real atacante, tornando este tipo de ataque mais eficiente. A tabela 1 apresenta a relação de alguns protocolos utilizados neste tipo de ataque e os respectivos fatores de amplificação de pacotes [3]: TABELA I FATOR DE AMPLIFICAÇÃO POR PROTOCOLO. Protocolo (Porta) DNS (53/UDP) NTP (123/UDP) SNMPv2 (161/UDP) NetBIOS (137 139/UDP) SSDP (1900/UDP) CHARGEN (19/UDP) Fator de Amplificação de 28 até 54 vezes de 556.9 vezes de 6.3 vezes de 3.8 vezes de 30.8 vezes de 358.8 vezes FIG. 8: Ataque de negação de serviço utilizando servidores DNS recursivos. Inicialmente o atacante tem que comprometer um servidor DNS qualquer, de forma que este opere de acordo com as suas orientações. Estabelecido este controle, o atacante publica um domínio novo com um registro TXT (registro DNS que fornece informações textuais) muito grande neste servidor. Em paralelo, o atacante procura por servidores DNS recursivos abertos e realiza inúmeras consultas para o registro recém publicado. O que caracteriza o ataque é o fato de que o endereço IP de origem desta busca será informado como se fosse o endereço da vítima. Isso fará com que todas as respostas relacionadas à estas consultas sejam enviadas para a vítima e não para o atacante. O servidor DNS consultado, realiza a sua busca em vários servidores DNS e localiza a informação necessária no servidor DNS controlado pelo atacante. De acordo com o protocolo utilizado no ataque, as respostas são encaminhadas com uma amplificação, conforme apresentado anteriormente na Tabela 1. Desta forma, as respostas encaminhadas esgotarão os recursos disponíveis da vítima, estabelecendo o estado de negação de serviço. V. SISTEMA DE DEFESA PARA ATAQUES DDOS Para combater os ataques DDoS e proteger diversas organizações diversas tecnologias de segurança contribuem para o estabelecimento de um sistema de defesa. A utilização de Firewalls, IDS (Intrusion Detection System) e roteadores com parâmetros de segurança mais reforçados podem auxiliar no monitoramento do tráfego de entrada e saída e tomar ações apropriadas para minimizar a exposição dos recursos de uma organização disponíveis para Internet, através de controles específicos para cada aplicação. Os IDS, por exemplo, analisam o tráfego da rede, geram estatísticas do uso da rede e possuem um conjunto de componentes que possibilitam a identificação da grande maioria dos ataques existentes e, em muitos casos, são utilizados em conjunto com outras tecnologias para mitigar alguns ataques DDOS. Os Firewalls são amplamente utilizados como a primeira camada de defesa. A partir de políticas bem definidas de segurança, estes podem inspecionar e filtrar pacotes

indesejados, de acordo com os protocolos, portas, estados de conexão e endereços IP. Descartando qualquer tráfego que não esteja de acordo com suas regras definidas. A utilização de roteadores com parâmetros de segurança mais reforçados pode contribuir para blindar a rede interna com o recebimento de pacotes por inundação através da utilização de rate-limiting. Semelhante aos firewalls, muitos roteadores têm listas de controle de acesso (ACL), e podem filtrar ou limitar o volume de tráfego. A utilização de equipamentos redundantes, desde dispositivos de rede à servidores de aplicação é um controle de segurança necessário para que o serviço não fique indisponível em casos de ataques. Porém, esta medida não é garantida, pois na intenção de realizar um ataque DDoS contra um determinado alvo, os atacantes podem sobrecarregar a capacidade dos equipamentos mesmo redundantes. Mesmo com a utilização destes recursos, na prática ainda não é possível garantir a imunidade aos ataques de DDoS. Em primeiro lugar, ainda é difícil identificar os ataques por inundação em servidores WEB, pois os firewalls não podem evitar ataques a porta 80 dos seus servidores, pois do ponto de vista deste equipamento, trata-se de uma conexão TCP legítima. Ao utilizar mecanismos de filtragem por limitação de velocidade, uma parte do tráfego legítimo pode também ser impactada. Firewalls e roteadores podem ser facilmente sobrecarregados em caso de ataque DDoS e com isso, em caso de falha nestes elementos, tem-se o estado de negação de serviço idealizado pelo atacante. A maioria dos ataques de DDoS são compostos por centenas ou milhares de computadores, e muitas das vezes a utilização de IP Spoofing e proxy anônimos torna-se muito complexo a identificação da origem real do tráfego e com isso solicitar o bloqueio às instituições responsáveis. Os administradores da rede devem configurar adequadamente os serviços, principalmente os que podem ser usados para amplificação do tráfego. O ideal é monitorar os logs, a procura de erros e de tentativas de exploração de vulnerabilidades e verificar o tráfego de entrada na rede à procura de tentativas de varreduras (scan) e tráfego anormais partindo da rede. Assim como os administradores de rede são responsáveis pelo seu perímetro de atuação, os provedores de conectividade/serviços devem complementar este monitoramento quando este sair do campo de responsabilidade destes administradores. Além disso, existem hoje tecnologias específicas para tratar dos ataques de DDoS dentro do backbone das operadoras. Essas tecnologias são ofertadas pelas operadoras a seus clientes na forma de serviço, comumente denominadas soluções Anti-DDoS. Geralmente são definidos centros específicos para realizar a inspeção e o descarte do tráfego malicioso, antes que este atinja a rede de uma potencial vítima. Estes centros são distribuídos em mais de um ponto de interconexão entre as redes das operadoras/fornecedores deste tipo de serviço, criando um perfil deste tráfego para cada serviço Web do cliente final. O monitoramento deste tráfego deve ocorrer em uma escala 24h/7d e quando for detectada uma alteração neste perfil, o tráfego será desviado para uma estação de mitigação e analisado completamente. O tráfego malicioso é descartado e o tráfego legítimo é re-injetado no circuito do cliente, sempre com a preocupação de minimizar falsos positivos e manter a privacidade do cliente final. Para a mitigação do tráfego, somente cópia dos fluxos e/ou cabeçalhos IPs dos pacotes poderão ser copiados. Por questões de privacidade, o Payload em hipótese nenhuma poderá ser copiado, podendo somente ser desviado para ser limpo. O fornecedor deste serviço estabelecerá uma sessão BGP (Border Gateway Protocol) com o seu cliente, para troca de roteamento na modalidade full-routing e divulgará os prefixos do cliente final e de seus clientes para todos os seus fornecedores, parceiros e clientes conectados a esta rede. Além disso, é liberada a utilização de communities BGP para troca de políticas de roteamento (NO-EXPORT de rotas, Local Preference, Black Hole). Na Figura 9, pode-se observar a atuação do Security Operation Center ao descartar o tráfego considerado malicioso e direcionar ao seu cliente apenas o tráfego considerado legítimo. FIG. 9: Tratamento do tráfego em uma solução Anti-DDoS. VI. DETECÇÃO E ANÁLISE DE ATAQUES DDOS Em decorrência da complexidade dos ataques DDoS, sua detecção demanda certo investimento de tempo e recursos na rede para que se tenham condições de identifica-lo corretamente. Existem vários sintomas que podem ser confundidos com as consequências de um ataque. Como por exemplo, problemas de conectividade com o provedor de serviços, falha de equipamentos de rede, problemas pontuais com a utilização dos serviços por alguns usuários, falhas geradas por falhas de configuração ou até mesmo uma campanha de marketing que possa ter atraído um tráfego acima do normal. Por este motivo, antes de se diagnosticar qualquer mudança de comportamento como um ataque propriamente dito, deve-se realizar uma apuração detalhada sobre o caso. Confirmando que realmente a alteração de comportamento observada é um ataque DDoS, será necessário identificar as suas características e entender os parâmetros que estão sendo alterados com este ataque. A correta classificação do ataque é fundamental para que o sistema de mitigação tome as providências adequadas para sanar os efeitos do ataque. A

utilização de ferramentas de monitoramento pode auxiliar nesta fase, ao traçar um comparativo entre o perfil normal de funcionamento deste serviço e o cenário que está sendo observado ao identificar a ocorrência do ataque. Estas ferramentas podem informar os protocolos, portas e endereços IP de origem e de destino mais acessados. Além disso, deve-se observar os recursos que foram afetados por este ataque, identificando se o alvo deste ataque é direcionado para um ou mais dispositivos. Muitas vezes o impacto do ataque atingirá apenas a parte mais crítica da operação, afetando com maior facilidade a imagem do negócio. Casos como este devem ser tratados com maior prioridade, isolando estas aplicações das demais. Muitas vezes, a ocorrência de um ataque pode ser utilizada para distrair as equipes de rede e segurança, para que outro ataque de maior proporção seja iniciado em outro dispositivo desta rede. A seguir serão apresentadas algumas ferramentas e métodos, que podem auxiliar na identificação da ocorrência de ataques DDoS. A. MIB Statistics: Este método utiliza os dados MIB (Management Information Base) dos roteadores, que são capazes de fornecer estatísticas dos pacotes e do seu roteamento. A utilização destes parâmetros na identificação de ataques DDoS ainda está em estudo, mas já parece ser promissor para possíveis mapeamentos ICMP, UDP e TCP em ataques DDoS específicos [8]. B. Network Analyser: Através de ferramentas de monitoramento como Wireshark, é possível analisar todo o trafego de rede diretamente na interface do equipamento, possibilitando a análise e filtragem de pacotes utilizando diversos critérios, como estado da conexão (origem e destino), protocolos (TCP, UDP, ICMP, etc.), portas, etc., em tempo real, o que possibilita a elaboração de estatísticas, gráficos e diagramas com base no tráfego capturado. Além disso, permite o armazenado de todo o tráfego capturado para futura análise detalhada. C. Netflow: É uma ferramenta que fornece análises e estatística de utilização da rede, o que possibilita a criação de padrões e baselines, facilitando a identificação desvios e anomalias. Os dados do Netflow podem ser utilizados para auxiliar na identificação destes ataques. VII. MITIGAÇÃO DE ATAQUES DDOS O processo de mitigação é algo complexo, pois deve haver a preocupação com a possibilidade de descartar tráfego legítimo e ao mesmo tempo, devem ser consideradas questões de privacidade. Por mais que haja este tipo de dificuldade, existem algumas técnicas e procedimentos que podem contribuir para a redução dos seus danos e conter o avanço destes ataques. A mitigação do ataque deve ocorrer inicialmente com a distribuição do tráfego provocado por este ataque, segregandoo em servidores/dispositivos distintos. Isto pode ser realizado com a utilização de técnicas balanceamento de tráfego como GSLB (Global Server Load Balancing), Anycast e CDN (Content Distribution Network) [3], ou se a vítima for um AS (Autonomous System), o redirecionamento e filtro deste tráfego pode ser realizado através de comunidades BGP. Após a separação do tráfego, o ideal é eliminar o tráfego malicioso. Existem hoje tecnologias disponíveis para tal objetivo, como por exemplo, o Sink Hole (clean-pipe ou traffic-scrubbing) para filtrar o tráfego malicioso, o Black Hole (null-routing) para descartar o tráfego destinado ao alvo do ataque. Do ponto de vista do usuário final dos serviços prestados pela vítima deste ataque, a aplicação é o ponto mais sensível a ser mitigado. Por este motivo, deve-se se buscar alguma alternativa para manter o serviço disponível ao usuário, mesmo que parcialmente até o que ataque seja controlado, caso contrário, deve ser comunicado a seus usuários a ocorrência do ataque. O ideal seria rastrear a origem do ataque, de forma que seja possível notificar os responsáveis para que sejam tomadas as medidas necessárias para interromper o andamento deste ataque. Esta ainda é uma tarefa difícil, pois depende da contribuição de muitas organizações como provedores de serviço e mantenedores de backbones, autoridades policiais e serviços diplomáticos. VIII. CENÁRIO ATUAL E DESAFIOS FUTUROS Os ataques DDoS são indiscriminados e não se limitam a um setor específico. No ano de 2015, foram registrados 25.360 computadores como participantes deste tipo de ataque, número 89% menor do que o registrado em 2014. Já no primeiro trimestre de 2016, foi identificado um aumento de 111% nos casos de ataques DDoS no mundo, em comparação ao último trimestre de 2015. O tamanho médio atingiu 19,37Gbps, com 41% dos ataques acima de 10Gbps e pelo quinto trimestre consecutivo, o setor mais impactado por este tipo de ataque foi o de IT Services/Cloud/SAAS, com 32% de ataques mitigados nos últimos quatro meses de 2015 e nos primeiros quatro meses de 2016 [10]. Através de todo o conteúdo apresentado neste trabalho, nota-se a amplitude e complexidade da estrutura dos ataques de DDoS. As empresas vítimas destes ataques se espalham aos milhares por todo mundo e a compreensão e ações de remediação são na maioria, ainda ineficazes. O que ainda desafiará organizações no mundo todo para o aperfeiçoamento das soluções existentes e desenvolvimento de novas tecnologias que possibilitarão maior eficiência desde a identificação até a mitigação deste tipos de ataque. REFERÊNCIAS [1] Zuckerman, Ethan, Roberts, Hal, McGrady, Ryan, York, Jillian, Palfrey, John. Título: Distributed Denial of Service Attacks Against Independent Media and Human Rights Sites (Online). Disponível: http://cyber.law.harvard.edu/sites/cyber.law.harvard.edu/files/2010_dd os_attacks_human_rights_and_media.pdf. Acesso em maio de 2016. [2] MELLO, Fábio Pinhão, JUNIOR, Ricardo da Cruz Mendes, ROCHA, Daniel Guimarães. Análise de ataques DDoS (online). Disponível: http://www.defesacibernetica.ime.eb.br/pub/repositorio/2010-pinhao_ Mendes.pdf. Acesso em maio de 2016.

[3] CERT.br. Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço (DDoS) (online). Disponível: http://www.cert.br/docs/whitepapers/ddos. Acesso em maio de 2016. [5] CISCO. A Cisco Guide to Defending Against Distributed Denial of Service Attacks (online). Disponível: http://www.cisco.com/c/en/us/about/security-center/guide-ddosdefense.html#_toc374453054. Acesso em maio de 2016. [6] US-CERT. Alert (TA14-017A) - UDP-Based Amplification Attacks (online). Disponível: HTTP:// https://www.uscert.gov/ncas/alerts/ta14-017a. Acesso em maio de 2016. [7] CERT.br. Estatísticas dos Incidentes Reportados ao CERT.br (online). Disponível: http://www.cert.br/stats/incidentes. Acesso em maio de 2016. [8] SPECHT, Stephen, LEE Ruby. Taxonomies of Distributed Denial of Service Networks, Attacks, Tools, and Countermeasures (online). Disponível: http://www.princeton.edu/~rblee/ele572papers/fall04readings/ddos SurveyPaper_20030516_Final.pdf. Acesso em julho de 2016. [9] VERISIGN. Verisign distributed denial of service trends report Volume 2, issue4 4 th quarter 2015 (online). Disponível: https://www.verisign.com/assets/report-ddos-trends-q42015.pdf.. Acesso em julho de 2016. [10] VERISIGN. Q1 2016 DDoS attack trends (online). Disponível: https://www.verisign.com/en_us/security-services/ddosprotection/ddos-report/index.xhtml Acesso em julho de 2016. Káren Bartholo Furlan nasceu em Guaxupé, MG, em junho de 1980. Possui os títulos de Técnico em Eletrônica (ETE FMC, 1998) e Engenheiro Eletricista (Inatel Instituto Nacional de Telecomunicações, 2005). Desde dezembro de 2007 atua como Sales Engineering em empresas do Grupo TIM, no desenvolvimento de soluções customizadas de redes de dados e voz para o mercado corporativo, operadoras nacionais e internacionais. Guilherme Rezende dos Santos nasceu em Lambari, MG, em 10 de Janeiro de 1984. Bacharel em Sistemas de Informação pela Faculdade de Administração e Informática (2008) e MBA em Gestão e Tecnologia em Segurança da Informação pela Faculdade Impacta Tecnologia (2010). Professor do curso de Pós-graduação em Engenharia de Redes e Sistemas de Telecomunicações do Inatel.