Ataques DDoS estão mais intensos e sofisticados, afirma a Nokia

Em um cenário em que a Cloud, IoT e 5G estão transformando o mundo digital, as redes tornaram-se ainda mais importantes, ainda mais após a pandemia de Covid-19, que aumentou a dependência da Internet. Infelizmente, a pandemia também levou a um crescimento no tráfego DDoS (Distributed Denial of Service). Além do aumento de 100% nos picos diários no tráfego DDoS, este tipo de ataque cresceu para ser uma realidade diária de nível terabit para muitas redes globalmente, com potencial iminente e mais prejudicial para ataques acima de 10-15 Tbps.

À medida que mais de 10 mil ataques de provedores de Internet em todo o mundo foram analisados ​​no relatório Nokia Deepfield Network Intelligence: DDoS 2021, uma mudança perceptível foi observada nos padrões de ameaças, com ataques indo além dos PCs e surgindo de fora e de dentro das redes de provedores de serviços, visando hosts e servidores de Internet, clientes, usuários e infraestrutura de rede globalmente.

“No último ano, a grande maioria dos DDoS fez a transição essencialmente para dispositivos IoT, outros tipos de servidores em Nuvem e contas de Nuvem comprometidas”, diz o Dr. Craig Labovitz, CTO da Nokia Deepfield. “Os dispositivos IoT geralmente vêm com bugs exploráveis ​​em seus sistemas operacionais incorporados ou servidores da Web. Outros, incluindo centenas de milhares de dispositivos, vêm com uma senha padrão”, acrescenta.

Embora a maioria dos ataques DDoS sejam tratados como um incômodo, os ataques volumétricos de alta largura de banda e alta intensidade de pacotes são preocupantes. Com DDoS de amplificação volumétrica, os invasores aproveitam o aumento da largura de banda e da conectividade para implantar milhões de servidores e dispositivos IoT não seguros e comprometidos para direcionar e saturar interfaces, roteadores, balanceadores de carga, firewalls e hosts de rede.

Ataques DDoS em larga escala podem ser fatais para roteadores e infraestrutura de rede, interrompendo a conectividade e a disponibilidade de serviços para provedores de serviços de comunicação (CSPs), empresas e consumidores. Eles podem levar a perdas que variam de milhares a milhões de dólares.

“Vale a pena notar que, embora alguns grandes ataques cheguem às manchetes, muitos não são relatados porque os provedores de serviços não querem expor detalhes sobre seus recursos de segurança ou vulnerabilidades. Pior ainda, os ataques podem não ser detectados pelos provedores de serviços até serem relatados pelos usuários nas mídias sociais”, diz Alex Pavlovic, diretor de Marketing de Produto da Nokia Deepfield.

Pico de botnet DDoS

Botnet DDoS é um tipo de tráfego que apresentou um crescimento significativo desde meados de 2021. No segundo semestre do ano, em contraste marcante com a era pré-IoT, a maioria dos maiores ataques DDoS alavancaram exclusivamente botnets de grande escala. Hoje, botnet DDoS é a fonte de dezenas de milhares de ataques diários, com cada um deles envolvendo entre vários milhares e vários milhões de endereços IP. Estima-se que entre 100 mil e 200 mil bots ativos estejam envolvidos nesses ataques.

A Nokia Deepfield estima que a capacidade de ataque de botnet e amplificador de IoT seja superior a 10 Tbps, um aumento significativo de duas a três vezes em relação ao tamanho de qualquer ataque DDoS divulgado publicamente até o momento. Em 2021, os volumes de tráfego DDoS diários agregados atingiram um pico de mais de 3 Tb/s, com crescimento adicional registrado em 2022.

O que está piorando a situação é a dificuldade de detecção e mitigação. No passado, a ferramenta básica para combater DDoS eram “sistemas de limpeza de tráfego” off-line chamados depuradores, que identificavam e removiam tráfego malicioso e retornavam tráfego genuíno de volta à rede. Essas contramedidas foram bem-sucedidas em frustrar a amplificação/reflexão comum e o tráfego sintético que normalmente não existe como tal na Internet. Mas essa abordagem funcionou bem quando os volumes de tráfego eram gerenciáveis. A grande escala de crescimento do volume coloca em questão a relação custo-benefício dessa abordagem, juntamente com os custos adicionais de atraso e backhaul introduzidos.

O Botnet DDoS, ao contrário dos predecessores, usa endereços IP válidos, pilhas TCP-IP completas, cabeçalhos de protocolo legítimos gerados pelo SO, somas de verificação corretas e cargas úteis cuidadosamente criadas para corresponder ao tráfego normal de aplicativos. O problema com os algoritmos de detecção mais antigos usados ​​por soluções baseadas em depuradores herdados é que eles exigem recursos significativos para extração. Recursos que a maioria dos ataques DDoS de botnet em grande escala de hoje não carregam.

“O que muda com botnets é que os pacotes geralmente são criptografados; eles geralmente usam Transport Layer Security (TLS). E, novamente, porque são botnets e não apenas alguns servidores, você passou de dois ou três servidores lançando um DDoS até agora 10.000 ou 100.000 bots, todos com capacidade de memória de CPU independente, geralmente executando pilhas Linux completas”, diz Labovitz .

Serviço
www.nokia.com