Conselhos para evitar um ataque de negação de serviço

Conselhos para evitar um ataque de negação de serviço

Os ataques de Negação de Serviço (DoS) e ataques Distribuídos de Negação de Serviço (DDoS) se tornaram cada vez mais frequentes, e muitas vezes são utilizados pelos hacktivistas como meio de protesto, ou inclusive são realizados por meio das redes botnet que utilizam seus computadores zumbi com esta finalidade. A seguir, apresentamos algumas informações mais

Os ataques de Negação de Serviço (DoS) e ataques Distribuídos de Negação de Serviço (DDoS) se tornaram cada vez mais frequentes, e muitas vezes são utilizados pelos hacktivistas como meio de protesto, ou inclusive são realizados por meio das redes botnet que utilizam seus computadores zumbi com esta finalidade. A seguir, apresentamos algumas informações mais

Os ataques de Negação de Serviço (DoS) e ataques Distribuídos de Negação de Serviço (DDoS) se tornaram cada vez mais
frequentes, e muitas vezes são utilizados pelos hacktivistas como meio de protesto, ou inclusive são realizados por meio das redes botnet que utilizam seus computadores zumbi com esta finalidade. A seguir, apresentamos algumas informações mais técnicas para compreender seu funcionamento.

Em que consiste um ataque de DOS?

Um ataque de Negação de Serviço tem como objetivo deixar determinado recurso inacessível (geralmente um servidor web). Esses ataques geralmente se realizam com o uso de ferramentas que enviam uma grande quantidade de pacotes de forma automática para sobrecarregar os recursos do servidor, conseguindo, desta maneira, que o próprio serviço fique inoperante. Além disso, costumam coordenar ataques envolvendo um grande número de pessoas para que iniciem este tipo de ataque simultaneamente, constituindo assim um ataque de negação de serviço distribuído, o qual muitas vezes é um pouco mais difícil de conter.

Que métodos de defesa existem?

Devemos revisar a configuração de roteadores e firewalls para deter IPs inválidas, assim como filtrar protocolos não necessários. Alguns firewalls e roteadores oferecem a opção de prevenir inundações (floods) nos protocolos TCP/UDP. Além disso, é mais aconselhável habilitar a opção de logging (logs) para levar um controle adequado das conexões que existem com os ditos roteadores.

Como medida de resposta, é muito importante contar com um plano de resposta a incidentes. Caso ocorra algo dessa natureza, cada pessoa dentro da organização deveria saber qual é sua função específica.

Outras das alternativas que devemos ter em conta é a ajuda solícita ao Provedor de Serviços da Internet (ISP). Isso pode ajudar ao bloquear o tráfego mais próximo à sua origem sem a necessidade de alcançar a organização.

No caso de contar com IDS/IPS (intrusão-detecção/prevention system), esses podem detectar o mal uso de protocolos válidos como possíveis vetores de ataque. Devemos ter em conta, além disso, a configuração dessas ferramentas. Isso deve se realizar com o tempo necessário e mediante pessoas capacitadas, tentando o máximo possível manter atualizadas as assinaturas desses dispositivos. Cabe destacar que é de suma importância analisar os casos de falsos positivos para realizar uma possível reconfiguração desse tipo de ferramenta.

Alguns conselhos um pouco mais técnicos que podem ajudar são:

  • Limitar a taxa do tráfego proveniente de um único host.
  • Limitar o número de conexões simultâneas ao servidor.
  • Restringir o uso da largura de banda pelos hosts que cometam violações.
  • Realizar um monitoramento das conexões TCP/UDP feitas no servidor (permite identificar padrões de ataque).

Possivelmente, este tipo de ataque seguirá ocorrendo ao longo do tempo. É por isso que é necessário adotar medidas preventivas para tentar evita-los, assim como também contar com os recursos necessários na hora de responder em caso de ataque bem sucedido.

Fernando Catoira
Analista de Segurança

Discussão