A técnica DDoS que é perfeita para atacar ISPs, serviços em nuvem e data centers.

Por Catalin Cimpanu

ddos-bomb.png

Atacantes misteriosos derrubaram um provedor de serviços de internet da África do Sul no fim de semana usando uma técnica DDoS chamada bombardeio de tapete, descobriu o ZDNet .

Os ataques DDoS ocorreram no sábado e domingo, 21 e 22 de setembro, e têm como alvo o Cool Ideas, um dos maiores ISPs da África do Sul.

Durante o DDoS, os invasores conseguiram derrubar as conexões externas da Cool Ideas com outros ISPs, como pode ser visto nas ferramentas de relatório de código aberto.

Como resultado desse ataque, os clientes da Cool Ideas tiveram “perda intermitente de conectividade e desempenho degradado” para qualquer conexão que tentasse acessar um site ou serviço internacional, informou a empresa em sua página pública de status .

OldManChad@chad01209778

Hate the fact that you try to use fancy technical language in your announcement of the ddos attack.. “international traffic” just use plain simple English and tell people that all cool ideas clients won’t be able to access any websites. People will appreciate honesty.

See OldManChad’s other Tweets

OS ATACANTES LANÇARAM UM ATAQUE DE ACOMPANHAMENTO

Embora a Cool Ideas não tenha respondido a um pedido de comentário enviado pelo ZDNet ontem, Paul Butschi, co-fundador da Cool Ideas, disse a uma agência de notícias local que os atacantes ficaram de olho em como o ISP lidou com o ataque e reagiram de acordo.

Assim que a Cool Ideas conseguiu mitigar a primeira onda de ataque DDoS e anunciou que estava lentamente retomando o serviço, outro ataque DDoS ocorreu em poucos minutos, derrubando os sistemas do ISP novamente.

Além disso, Butschi revelou que este foi o segundo grande ataque DDoS que o provedor enfrentou, com outro atingindo a empresa em 11 de setembro.

Além disso, hoje cedo, um quarto ataque atingiu o ISP novamente. Diferentemente dos primeiros ataques, este chegou ao site do provedor, e não à sua rede, o ZDNet aprendeu com uma fonte que queria permanecer anônima, mas forneceu evidências do ataque.

ATAQUES DE AMPLIFICAÇÃO DNS + CLDAP, ESTILO BOMBARDEIO DE TAPETE

Todos os ataques que atingiram o Cool Ideas foram os chamados ataques de amplificação de DDoS que alavancaram os protocolos DNS e CLDAP.

Os hackers enviaram tráfego indesejado para servidores DNS e CLDAP sem patch, que, por sua vez, refletiram o tráfego para a rede da Cool Ideas em um tamanho amplificado – daí o termo ataque de amplificação de DDoS.

Mas o que se destacou foi que os hackers não realizaram um ataque DDoS clássico, onde foram atrás de um servidor-chave na rede da Cool Ideas.

Em vez disso, eles usaram uma técnica conhecida como bombardeio de tapete, onde enviaram o tráfego DDoS lixo para endereços IP aleatórios na rede da Cool Ideas.

Durante um ataque a bomba, todos os clientes da rede da Cool Ideas receberam algum tráfego indesejado. O tráfego não solicitado não era grande o suficiente para derrubar a conexão de cada cliente; no entanto, era grande o suficiente para sobrecarregar os servidores na fronteira de rede da Cool Ideas, que diminuíram e também derrubaram a conectividade externa do ISP.

O ATENTADO A BOMBA PODE CONTORNAR A MITIGAÇÃO RUDIMENTAR DE DDOS

Pode-se perguntar por que os invasores não atacaram diretamente os servidores de borda da Cool Ideas, para começar. O motivo é bastante simples – porque esses sistemas eram protegidos por soluções de mitigação de DDoS e teriam perfurado todo o tráfego indesejado antes que pudesse causar algum dano.

Ao apontar o ataque DDoS para IPs aleatórios no pool de endereços IP da Cool Ideas, o sistema de mitigação de DDoS não viu um ataque DDoS direcionado a um alvo específico, mas viu altos níveis de tráfego indo para os milhares de clientes do ISP. Estranho e anormal, mas não como é um ataque DDoS clássico.

À medida que o tráfego DDoS crescia, os roteadores de borda eram sobrecarregados lentamente e, eventualmente, travavam, enquanto a solução de mitigação de DDoS falhou ao detectar qualquer ataque.

Em entrevista ao ZDNet , o pesquisador de segurança de rede Tucker Preston disse que o atentado a bomba é uma técnica que é “predominantemente usada contra ISPs” e geralmente não é usada em nenhum outro lugar.

“Essa técnica frustra opções rudimentares de mitigação, como roteamento de buracos negros, além de evitar a detecção baseada em fluxo”, disse Preston.

OS ATAQUES DDOS AOS ISPS NÃO SÃO TÃO DIFÍCEIS DE REALIZAR

Além disso, embora se possa pensar que derrubar um provedor de serviços de Internet inteiro seja uma tarefa bastante difícil, a realidade é que esses ataques ocorrem com bastante frequência.

Por exemplo, ataques a ISPs inteiros já aconteceram antes e tiveram como alvo os ISPs na Libéria e no Camboja , apenas para citar os mais destacados que o ZDNet abordou em relatórios anteriores. Ambos também foram ataques a bomba.

“Geralmente, esses ataques são bem-sucedidos o suficiente para causar interrupções nos serviços em toda a rede e lentidão prolongada”, disse Preston ao ZDNet sobre alguns dos ataques que ele tem visado aos ISPs.

“Às vezes, os ataques são cronometrados durante o horário de pico da navegação para frustrar ainda mais os usuários”, disse ele. “Os invasores determinados parecem estar motivados a causar o máximo de insatisfação possível para o cliente, resultando em perdas para o fornecedor e em má imprensa”.

Além disso, os invasores nem sempre precisam de uma grande botnet DDoS para interromper os ISPs, nem precisam constantemente martelar a rede de um provedor com tráfego indesejado.

“Os ataques de um dia contra os ISPs não são desconhecidos; no entanto, breves períodos de tempo para interromper o serviço nos horários de pico podem ser igualmente eficazes”, disse Preston. “A onipresença de aplicativos em tempo real, como VOIP e jogos, significa que os usuários finais esperam uma conexão confiável, livre de perda de pacotes”.

Mas Preston também disse que, atualmente, a maioria dos ISPs tem as ferramentas para mitigar esses ataques. Por exemplo, eles podem implantar o protocolo DOTS (DDoS Open Threat Signaling) em plataformas de mitigação de DDoS e trabalhar juntos para extrair tráfego ruim direcionado a um dos membros participantes muito antes de atingir a rede do alvo.

Além disso, Preston também aponta que soluções como o BGP flowpec também podem ajudar os ISPs a evitar ataques DDoS que usam a abordagem de bombardeio de tapete. [ Mais sobre este tópico no vídeo abaixo – uma apresentação sobre o BGP flowpec pelo engenheiro de segurança Charter Taylor Harris. ]

A técnica de bombardeio de tapete DDoS não é algo novo. Está documentado há mais de uma década. A empresa de mitigação de DDoS, Netscout, observou em uma apresentação recente que os ataques a bomba atingiram o pico em 2018.

Os pesquisadores da Netscout atribuíram o aumento da popularidade da técnica à proliferação nos últimos anos de botnets DDoS e serviços DDoS de aluguel. Atualmente, a técnica se tornou amplamente usada e agora é vista em ataques a grandes alvos grandes o suficiente para ter seu próprio número de AS e pools de endereços IP, como ISPs, data centers, empresas de hospedagem na web, provedores de nuvem ou redes de grandes empresas .

Se alguma dessas empresas falhar em investir em ferramentas e protocolos modernos de mitigação de DDoS, elas geralmente sofrem interrupções. Até que a maioria dessas empresas atualize suas proteções, o bombardeio de tapete DDoS continuará sendo uma ameaça presente, mesmo que já existam muitas soluções para lidar com esse tipo de ataque DDoS.

Fonte: ZDNET