Sistema Atlas registra crescimento de ataques DDoS

Não é de hoje que a Arbor Networks vem alertando sobre um aumento crescente no tamanho, na complexidade e na frequência dos ataques de DDoS. Os dados mais recentes apurados pelo Sistema Atlas, referentes segundo trimestre de 2015, apontam para um grande crescimento no tamanho médio desses ataques, tanto do ponto de vista de bits por segundo quanto da perspectiva de pacotes por segundo. Tome nota: 21% dos ataques identificados ultrapassaram 1Gbps, e em grande parte, o crescimento se deu na faixa dos 2 aos 10Gbps. E, em junho houve um aumento significativo do número de ataques na faixa de 50 a 100Gbps, principalmente os do tipo SYN flood, tendo como alvo destinos nos Estados Unidos e no Canadá. O maior ataque registrado no período foi de 196Gbps, do tipo UDP (User Datagram Protocol).

O sistema ATLAS conta com a colaboração de mais de 330 Service Providers, clientes da empresa, que compartilham anonimamente os seus dados de tráfego para gerar uma visão global do tráfego e das ameaças na Internet. Recolhe 120TB/segundo de tráfego Internet, base do Mapa de Ataque Digital, que oferece uma visualização global dos ataques DDoS e foi criado em colaboração com o Google Ideias.

Nos últimos relatórios, o sistema tem confirmado a tendência de uso de reflexão/amplificação para ataques em massa. A técnica permite a um invasor amplificar a quantidade de tráfego gerada no ataque, ocultando as fontes originais do tráfego. Seu sucesso se deve a duas lamentáveis realidades. Em primeiro lugar, muitos prestadores de serviços ainda não implementaram filtros na borda, ou perímetro, de sua rede para bloquear o tráfego originado de endereços IP forjados (spoofing). Em segundo lugar, há uma enorme quantidade de dispositivos mal configurados e mal protegidos utilizando serviços Internet com protocolo UDP, e eles representam um fator crítico para amplificação no tráfego entre uma consulta realizada e a resposta a ela.

Segundo a Arbor, a maioria dos grandes ataques volumétricos detectados em todo o mundo, se vale de uma técnica de amplificação por reflexão utilizando servidores DNS (Domain Name System) e protocolos NTP (Network Time Protocol) e SSDP (Simple Service Discovery Protocol).

Além do tamanho médio dos ataques de amplificação por reflexão a servidores DNS e protocolos NTP, SSDP e Chargen (Character Generator Protocol) registrados no segundo trimestre de 2015 ter aumentado, metade deles visou a porta 80 (HTTP/U) do protocolo UDP. Já os ataque usando SSDP podem estar diminuindo um pouco. Foram 84 mil ataques rastreados no segundo trimestre deste ano (nível semelhante ao do quarto trimestre do ano passado) contra os 126 mil ataques desse tipo no primeiro trimestre do ano.

Outro dado relevante: a duração média de um ataque de reflexão foi de 20 minutos no segundo trimestre deste ano, contra 19 minutos no primeiro trimestre.

Fonte: CIO.
Edição: Diogenes Bandeira - Consultor de Segurança Eletrônica.