Um ataque de Negação de serviço (DoS) é uma tentativa mal-intencionada de afetar a disponibilidade do sistema alvo, como um site ou aplicativo, para usuários finais legítimos. Normalmente, os atacantes geram grandes volumes de pacotes ou solicitações, o que acaba sobrecarregando o sistema de destino. No caso de um ataque de Negação distribuída de serviço (DDoS), o atacante usa várias origens comprometidas ou controladas para gerar o ataque.
Em geral, os ataques DDoS podem ser segregados pela camada do modelo Open Systems Interconnection (OSI) que eles almejam. São mais comuns nas camadas de Rede (camada 3), Transporte (camada 4), apresentação (camada 6) e Aplicativo (camada 7).
Modelo Open Systems Interconnection (OSI):
# | Camada | Aplicação | Descrição | Exemplo de vetor |
7 | Aplicação | Dados | Processo de rede para o aplicativo | Inundações HTTP, inundações de consultas de DNS |
6 | Apresentação | Dados | Representação de dados e criptografia | Abuso de SSL |
5 | Sessão | Dados | Comunicação entre hosts | N/D |
4 | Transporte | Segmentos | Conexões e confiabilidade de ponta a ponta | Inundações SYN |
3 | Rede | Pacotes | Determinação do caminho e endereçamento lógico | Ataques de reflexão de UDP |
2 | Datalinks | Quadros | Endereçamento físico | N/D |
1 | Físico | Bits | Mídia, sinal e transmissão binária | N/D |
Classificação de ataque DDoS
Ao pensar nas técnicas de mitigação contra esses ataques, é útil agrupá-las como ataques das camadas Infraestrutura (camadas 3 e 4) e Aplicativo (camadas 6 e 7).
Ataques na camada Infraestrutura
Os ataques nas camadas 3 e 4 normalmente são classificados como ataques da camada Infraestrutura. Também são o tipo mais comum de ataque DDoS e incluem vetores como inundações sincronizadas (SYN) e outros ataques de reflexão como inundações de Pacote de datagramas de usuário (UDP). Esses ataques geralmente são grandes em volume e visam sobrecarregar a capacidade da rede ou dos servidores de aplicativos. Mas, felizmente, também são tipos de ataques que possuem assinaturas claras e são mais fáceis de detectar.
Ataques da camada Aplicativo
Os ataques nas camadas 6 e 7 geralmente são classificados como ataques da camada Aplicativo. Embora esses ataques sejam menos comuns, também tendem a ser mais sofisticados. Eles geralmente são pequenos em volume em comparação com os ataques da camada Infraestrutura, mas tendem a se concentrar em partes específicas do aplicativo, que acaba ficando indisponível para usuários reais. Por exemplo, uma inundação de solicitações HTTP para uma página de login, uma API de pesquisa cara, ou até inundações XML-RPC do WordPress (também conhecidas como ataques de pingback do WordPress).
Fonte: AWS