Ciberguerra na nuvem: como os ataques DDoS foram mitigados em 2022
27 de janeiro de 2023A CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, analisa o relatório sobre os ataques DDoS
CLM e NSFOCUS analisam as principais ocorrências, tipos, tamanhos e novas investidas, que foram barradas pelo cloud-based DDoS Protection System (DPS).
A CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, analisa o relatório sobre os ataques DDoS quanto à sua distribuição por taxa de bits, tipos, tendências de tráfego e os que surgiram, em 2022, realizado pela NSFOCUS, fornecedor global de soluções inteligentes de segurança híbrida.
É importante observar, avalia o vice-presidente internacional e de produtos da CLM, Gabriel Camargo, que o estudo foi feito a partir das investidas contra infraestruturas na nuvem de provedores de serviços ISP/IDC/Hosting, empresas, governos, setor de educação e provedores de conteúdo de internet, que aconteceram em 2022, e foram mitigadas pelo centro de operações de cibersegurança da NSFOCUS, com sua solução NSFOCUS cloud-based DDoS Protection System (DPS).
Relatório traz cenário real
“Portanto, estamos falando de um cenário real, que retrata a luta entre hackers x sistemas de defesa que efetivamente barram ataques DDoS”, comenta o executivo da CLM, que distribui as soluções da NSFOCUS.
-A tendência de tráfego dos ataques DDoS, em 2022, manteve-se relativamente estável ao longo do ano, com investidas volumétricas de mais de 150 gigabits por segundo (Gbps), registrados todos os meses.
-Dos ataques, ocorridos em 2022, 68,24% foram menores que 5 Gbps e 2,18% foram maiores que 100 Gbps.
-No gráfico, abaixo, a NSFOCUS identificou os tamanhos dos ataques maiores que 1 Gbps distribuídos mês a mês e o quanto representa cada tamanho dentro de um determinado mês.
– A NSFOCUS observou que o terceiro trimestre de 2022 registrou volumes recordes, respondendo por 30% do total de ataques maiores que 1 Gbps em todo o ano.
-Ao analisar os tipos de ataque, mês a mês, a empresa observou que o UDP Flood ainda era predominante e foi destacado em janeiro de 2022. O ACK Flood ficou em segundo lugar.
-A NSFOCUS também identificou os tipos de ataques de DDoS acima de 500Mbps
-Os três picos, em termos de tamanho, aconteceram em abril de 2022, quando a NSFOCUS mitigou um ataque DDoS volumétrico em um pico de 309,4 Gbps, incluindo 302,2 Gbps SYN Flood, com eficiência de limpeza atingindo 99,87%.
Outro ataque DDoS volumétrico mitigado pela NSFOCUS atingiu um pico de 303,7 Gbps, incluindo 302,9 Gbps SYN Flood, com eficiência de limpeza de 99,73%.
E o terceiro ataque volumétrico contendo 271,6 Gbps UDP Flood atingiu o pico de 273,9 Gbps, sendo mitigado pela NSFOCUS, com eficiência de limpeza de 99,19%.
Novos tipos de ataques em 2022
Ataque de amplificação de reflexão baseado em CVE-2022-26143 9.1.1
A NSFOCUS capturou o tráfego UDP Flood de um cliente e descobriu que a porta de destino era 10074, relacionada a explorações de vulnerabilidade descobertas há pouco tempo.
Neste incidente, o invasor que utilizou a reflexão/amplificação TP-240 pode lançar um ataque DDoS de alto impacto usando um único pacote.
O exame do binário tp240dvr revela que, devido ao seu design, permite, teoricamente, que o invasor faça com que o serviço emita 2.147.483.647 respostas a um único comando malicioso.
Cada resposta gera dois pacotes na rede, levando a cerca de 4.294.967.294 pacotes de ataque amplificados que são direcionados à vítima.
A mitigação do ataque
A NSFOCUS limitou o tráfego UDP para o grupo de proteção no qual o endereço IP do cliente estava contido.
E capturou alguns pacotes quando o UDP Flood escapou do algoritmo de proteção, descobrindo que o UDP possuía informações de cabeçalhos HTTP em dados.
Camargo explica que esses pacotes são frequentemente usados para comunicações entre dispositivos IoT.
“Os invasores podem usar a reflexão para fazer com que alguns dispositivos IoT na rede pública se tornem fontes de reflexão para ataques DDoS”, assinala.
Para mitigar os ataques a NSFOCUS fez a correspondência de padrões executada no tráfego UDP e nos pacotes descartados começando com HTTP/1.1 no campo dados. Depois, trabalhou com o cliente para bloquear o tráfego na porta não comercial.
Todos os endereços IP no mesmo prefixo de rede do cliente foram atacados com UDP de 100 Mbps ao mesmo tempo, afetando sua largura de banda.
O invasor usou um grande número de dispositivos bot na rede pública para enviar um pequeno número de pacotes de dados UDP para vários endereços IP do segmento de rede de destino.
Dessa forma, ficou muito fácil atingir o objetivo do invasor de ocupar a largura de banda alvo, pois o pequeno número de pacotes dificulta o acionamento do limite de proteção.
Como medidas de curto prazo, é preciso colocar o segmento IP da vítima em um grupo de proteção separado e usar um limite UDP mais baixo para limitar sua velocidade.
E a recomendação no longo prazo é usar o NSFOCUS Threat Intelligence (NTI) para identificar e bloquear endereços IP na rede pública onde existem ataques de carpet bombing.
Sobre a CLM
CLM é um distribuidor latino-americano, de valor agregado, com foco em segurança da informação, proteção de dados, infraestrutura para data centers e cloud.
A empresa recebeu recentemente diversos prêmios: o de melhor distribuidor da América Latina pela Nutanix, qualidade e agilidade nos serviços prestados aos canais; o prêmio Lenovo/Intel Best Growth LA Partner pelo crescimento das vendas; o Prêmio Excelência em Distribuição 2022 da Infor Channel pelo compromisso da CLM com a excelência e busca incansável das melhores soluções e serviços aos canais e Destaque no atendimento aos Canais, pelo Anuário de Informática da Revista Informática Hoje.
Com sede em São Paulo, a empresa possui coligadas no Chile, EUA, Colômbia e Peru. Com extensa rede de VARs na América Latina e enorme experiência no mercado, a CLM está constantemente em busca de soluções inovadoras e disruptivas para fornecer cada vez mais valor para seus canais e seus clientes.
Sobre a NSFOCUS
A NSFOCUS é uma empresa de cibersegurança de aplicativos e de internet com mais de 22 anos de experiência.
Ela opera globalmente com mais de 5 mil funcionários em duas sedes (em Pequim, China e Santa Clara, CA, EUA) e conta com mais de 50 escritórios em todo o mundo.
A NSFOCUS protege seis das dez maiores empresas globais de telecomunicações e quatro das cinco maiores instituições financeiras mundiais.
Com suas plataformas de segurança em nuvem multi-tenant e distribuída, a NSFOCUS transfere efetivamente a segurança para o backbone da internet: operando em data centers em todo o mundo, o que permite que as organizações usufruam totalmente da promessa da computação em nuvem, fornecendo proteção e desempenho incomparáveis e rigorosos e capacitando seus parceiros para fornecer a melhor segurança como serviço de maneira inteligente e simples.
Ataques DDoS maliciosos crescem 203% no primeiro semestre de 2022
Ataques Botnet e DDoS – você já planejou sua proteção?
Ataques DDoS maliciosos aumentaram quase 75% no primeiro trimestre de 2022
Acompanhe os principais conteúdos sobre Internet of Things (Internet das coisas)!
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.
