Dados globais sobre ataques DDoS para os primeiros seis meses de 2016 mostram uma escalada contínua tanto no tamanho quanto na frequência dos ataques. Segundo o estudo da Arbor Networks, a prática ainda continua sendo utilizada regularmente em razão da disponibilidade de ferramentas gratuitas e serviços online de custo baixo que permitem a qualquer pessoa que tenha um motivo e uma conexão Internet lançar um ataque.
Foi observado uma média de 124.000 eventos por semana nos últimos 18 meses, um aumento de 73% no tamanho do maior ataque (comparado aos ataques em 2015), que atingiu 579Gbps. 274 ataques maiores que 100Gbps foram monitorados no primeiro semestre de 2016, contra 223 durante todo o ano de 2015. Cerca de 46 ataques maiores que 200Gbps foram monitorados no primeiro semestre de 2016, contra 16 durante todo o ano de 2015. Os EUA, França e o Reino Unido são os maiores alvos para ataques maiores do que 10Gbps.
Também foi documentado que grandes ataques DDoS não precisam utilizar técnicas de reflexão amplificada. O LizardStresser, malware para formação de botnet com dispositivos IoT (Internet of Things), foi utilizado para lançar ataques de 400Gbps, tendo como alvo sites de jogos no mundo todo, e, no Brasil, instituições financeiras, ISPs e instituições governamentais.
Pacotes de ataque não parecem se originar de endereços falsos – e não foram utilizados protocolos de amplificação baseados em UDP, como NTP ou SNMP.
Um ataque DDoS de 1 Gbps é suficientemente grande para deixar a maioria das organizações fora de serviço. O tamanho médio do ataque no 1º semestre de 2016 foi de 986Mbps, um aumento de 30% comparado a 2015. A projeção é de que até o final de 2016 o tamanho médio dos ataques seja de 1,15Gbps.
“Os dados demonstram a necessidade de uma defesa contra DDoS híbrida ou multicamada”, afirmou Darren Anstee, que está à frente da área de tecnologia da Arbor Networks. Para ele, ataques utilizando grande largura de banda só podem ser mitigados na nuvem, longe do alvo pretendido. No entanto, apesar do enorme crescimento do tamanho dos ataques de maiores proporções verificados, 80% de todos os ataques ainda são menores do que 1Gbps e 90% duram menos do que uma hora.
A proteção no local (on-premise) oferece a reação rápida de que se necessita nesses casos, e é crucial contra os ataques mais lentos, usando menor largura de banda, dirigidos à camada de aplicação, e também contra os ataques de exaustão que miram elementos de infraestrutura como firewalls e IPS”.
Reflexão
A reflexão amplificada é uma técnica que permite ao atacante tanto aumentar o volume de tráfego que ele gera quanto obscurecer as fontes originais do tráfego de ataque. Assim, em sua maioria, os recentes ataques de grandes dimensões tiram partido dessa técnica, usando servidores DNS, além de protocolos NTP (Network Time Protocol) ou SSDP (Simple Service Discovery Protocol).
O DNS foi o protocolo mais utilizado em 2016, assumindo a posição do NTP e SSDP em 2015. O tamanho médio dos ataques de reflexão amplificada de DNS está crescendo muito. O ataque de reflexão amplificada de maior tamanho monitorado no primeiro semestre de 2016 foi de 480Gbps (DNS).
