{"id":10120,"date":"2018-03-02T15:49:37","date_gmt":"2018-03-02T18:49:37","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=10120"},"modified":"2018-09-18T09:48:20","modified_gmt":"2018-09-18T12:48:20","slug":"novo-metodo-amplifica-ataques-ddos","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/novo-metodo-amplifica-ataques-ddos\/10120\/","title":{"rendered":"Novo m\u00e9todo amplifica ataques DDos"},"content":{"rendered":"

Os cibercriminosos que disparam ataques de nega\u00e7\u00e3o de servi\u00e7o distribu\u00eddos (DDos)<\/a> agora est\u00e3o empregando uma t\u00e9cnica nova e altamente eficaz ao seu arsenal para amplificar os ataques em at\u00e9 51,2 mil vezes, usando servidores memcached mal-configurados acessados \u200b\u200bvia Internet.<\/p>\n

A t\u00e9cnica foi reportada pela Akamai, Arbor Networks e Cloudflare esta semana. As empresas observaram um aumento nos ataques DDoS usando pacotes UDP (User Datagram Protocol), amplificados pelos servidores memcached, nos \u00faltimos dois dias. Essas m\u00e1quinas s\u00e3o um tipo de servidor utilizado para refor\u00e7ar a capacidade de resposta dos sites baseados em banco de dados, melhorando o sistema de cache de mem\u00f3ria.<\/p>\n

\u201cInfelizmente, h\u00e1 v\u00e1rias implementa\u00e7\u00f5es de memcached em todo o mundo usando a configura\u00e7\u00e3o insegura padr\u00e3o\u201d, escreveu Marek Majkowski, engenheiro da Cloudflare, em descri\u00e7\u00e3o t\u00e9cnica<\/a> dos ataques DDoS.<\/p>\n

\"\"Ataques de reflex\u00e3o<\/a> ocorrem quando um atacante forja os endere\u00e7os IP da v\u00edtima para estabelecer os sistemas dela como fonte de pedidos enviados para uma grande quantidade de m\u00e1quinas. Os destinat\u00e1rios emitem milh\u00f5es de respostas \u00e0 rede da v\u00edtima e, finalmente, a derrubam. Esse tipo de ataque DDoS difere dos de amplifica\u00e7\u00e3o<\/a>, em que servidores DNS abertos de acesso p\u00fablico s\u00e3o usados \u200b\u200bpara inundar v\u00edtimas com respostas DNS.<\/p>\n

No caso de ataques de amplifica\u00e7\u00e3o, os invasores puderam enviar uma solicita\u00e7\u00e3o de pacote baseada em UDP de pequeno tamanho ao servidor memcached (na porta 11211). Os pacotes seriam falsificados para aparecer como se fossem enviados do alvo pretendido do ataque DDoS. Em resposta, o servidor memcached envia ao alvo falsificado uma resposta massivamente desproporcional.<\/p>\n

\"\"<\/p>\n

\u201cQuinze bytes de solicita\u00e7\u00e3o desencadearam 134KB de resposta. \u00c9 um fator de amplia\u00e7\u00e3o de 10 mil vezes! Na pr\u00e1tica, vimos um resultado de 15 bytes com resposta de 750KB (amplifica\u00e7\u00e3o de 51 200x) \u201c, disse Majkowski.<\/p>\n

As implica\u00e7\u00f5es de tal ataque, que requer t\u00e3o poucos recursos com impacto t\u00e3o grande, s\u00e3o abrangentes, n\u00e3o apenas contra as v\u00edtimas, mas tamb\u00e9m em termos de infra-estrutura cr\u00edtica de rede, disseram os pesquisadores.<\/p>\n

\u201c\u00c9 dif\u00edcil determinar o fator de amplifica\u00e7\u00e3o exato do memcached, mas os ataques que a Akamai viu geraram quase 1 Gbps por refletor. Outras organiza\u00e7\u00f5es relataram ataques acima de 500 Gbps\u201d, de acordo com\u00a0alerta da Akamai<\/a>.<\/p>\n

De acordo com estimativas, existem mais de 88 mil servidores abertos vulner\u00e1veis \u200b\u200ba abusos. Servidores memcached vulner\u00e1veis \u200b\u200bforam identificados globalmente, com a maior concentra\u00e7\u00e3o na Am\u00e9rica do Norte e na Europa, disse a Cloudflare.<\/p>\n

Para piorar as coisas, esses servidores suportam UDP, protocolo de comunica\u00e7\u00e3o alternativo para o TCP e considerados maduros para abusos em ataques de amplifica\u00e7\u00e3o.<\/p>\n

\u201cA especifica\u00e7\u00e3o do UDP mostra ser um dos melhores \u200b\u200bpara amplifica\u00e7\u00e3o! H\u00e1 absolutamente zero verifica\u00e7\u00f5es, e os dados s\u00e3o entregues ao cliente com velocidade m\u00e1xima! Al\u00e9m disso, o pedido pode ser min\u00fasculo e a resposta enorme\u201d, observaram os pesquisadores da Cloudflare.
\n<\/p>\n

\u201cSemelhante \u00e0 maioria dos ataques de reflex\u00e3o e amplifica\u00e7\u00e3o anteriores, a principal solu\u00e7\u00e3o para ataques memcached \u00e9 n\u00e3o ter os refletores expostos na Internet. No entanto, confiar em administradores remotos de sistemas para remover seus servidores da Internet n\u00e3o \u00e9 uma solu\u00e7\u00e3o de resultados imediatos. Entretanto, as organiza\u00e7\u00f5es precisam estar preparadas para mais ataques multigigabit usando este protocolo\u201d, disse a Akamai.<\/p>\n

*com informa\u00e7\u00f5es do Threatpost<\/a><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Usando servidores memcache mal-configurados, autores de ataques de nega\u00e7\u00e3o de servi\u00e7o conseguem amplific\u00e1-los em at\u00e9 52 mil vezes.<\/p>\n","protected":false},"author":61,"featured_media":10121,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1656],"tags":[1185,790,181,1425,93,1426],"class_list":{"0":"post-10120","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-smb","10":"tag-business","11":"tag-ddos","12":"tag-internet","13":"tag-memcached","14":"tag-rede","15":"tag-servidores"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/novo-metodo-amplifica-ataques-ddos\/10120\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/10120","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/61"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=10120"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/10120\/revisions"}],"predecessor-version":[{"id":10194,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/10120\/revisions\/10194"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/10121"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=10120"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=10120"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=10120"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}