A intolerável assimetria DDoS — e como superá-la

A maioria dos debates sobre ataques DDoS está relacionada ao impacto de ataques notáveis contra organizações específicas. São muito comuns campanhas de ataque DDoS mais amplas contra diversas organizações, redes, indústrias, geografias e até mesmo afinidades ideológicas ou geopolíticas. Apesar de seu ritmo ter aumentado, esses ataques são quase sempre considerados acontecimentos singulares, sendo tidos como divergentes da rotina empresarial.

Se levarmos em conta que a equipe Asert da Netscout observou mais de 10 milhões de ataques DDoS em 2023 – uma média de mais de 30.000 ataques por dia, mais 1.000 ataques a cada hora, com um novo ataque a cada 2,5 segundos – um quadro muito diferente surge. E quando temos em conta que o impacto colateral desproporcional dos ataques DDoS em pessoas e organizações afetadas pela interrupção de serviços e propriedades voltados para a internet, fica claro que o próprio tecido da internet está sob constante ataque, com consequências muito reais para todos nós.

Assimetria de impacto infinito
Os ataques DDoS são ataques contra a capacidade e/ou o estado e destinam-se a interromper a disponibilidade de aplicações, serviços e infraestrutura. Tornaram-se a arma online escolhida por atacantes ocasionais e habilidosos devido à turbulência que infligem a alvos desprotegidos por defesas DDoS completas e escaláveis. Como os adversários aproveitam recursos online comprometidos e frágeis pertencentes a organizações e indivíduos legítimos para lançar ataques DDoS, o custo tangível para os atacantes é nulo, enquanto os custos para defensores despreparados são imensos.

Como veremos, os atacantes têm, para todos os fins práticos, essencialmente recursos de ataque DDoS ilimitados à sua disposição. Entender esse desequilíbrio e entender como combatê-lo é a chave para uma defesa DDoS bem-sucedida.

Quantificando a carga
As métricas a seguir revelam o tamanho da carga que o DDoS realmente é. Nos últimos quatro anos, os ataques DDoS permaneceram alarmantemente comuns, com nossa telemetria mostrando mais de 1 milhão de ataques por mês até o final de 2023.

Os ataques DDoS resultam em mais de 40.000 horas de ataque acumuladas por semana. Nem todo ataque requer intervenção, mas a carga em si permanece imensa.

Os provedores de telecomunicações estão na linha de frente e lidam com ataques DDoS constantemente. Eles carregam o peso do impacto do ataque DDoS em um momento em que os ataques DDoS de terabit por segundo (Tbps) e cem milhões de pacotes por segundo (Mpps) não são mais uma raridade.

Amplificação de reificação — Avaliando o potencial máximo de ataque
Embora essas estatísticas sejam bastante preocupantes por si só, é ainda mais preocupante que os invasores possam causar todo esse estrago enquanto aproveitam apenas uma pequena porcentagem dos recursos de ataque DDoS abusivos de qualquer tipo! O scanner de pesquisa global Asertss revela um potencial de ~1,6 milhão de DNS multiplicadores por reflexão em um determinado dia, mas menos de 10% são utilizados por invasores DDoS. Além do pool global de refletores/amplificadores disponíveis, os adversários continuam a aumentar o número de bots capazes de lançar ataques DDoS.

Por Geraldo Guazzelli, diretor-geral da Netscout no Brasil.