O que você precisa saber sobre as armas DDoS, para evitar os ataques de negação de serviço

Para adotar uma abordagem proativa à defesa contra DDoS, a A10 Networks publicou um relatório sobre o cenário atual de DDoS. O estudo realizado no 4º trimestre de 2019, fornece informações detalhadas sobre ameaças, para mostrar a estratégia de defesa. Foram rastreadas cerca de seis milhões de armas, os locais onde os ataques são lançados; os serviços explorados e quais os métodos utilizados para maximizar os danos. Entre as principais conclusões:

Amplificação refletida leva o DDoS ao próximo nível

Os protocolos SNMP (Protocolo Simples de Gerência de Rede) e SSDP (Protocolo Simples de Descoberta de Serviço) têm sido as principais fontes de ataques DDoS, e essa tendência continuou no quarto trimestre de 2019, com quase 1,4 milhão de armas SNMP e cerca de 1,2 milhão de armas SSDP rastreadas. Mas em um desenvolvimento alarmante, os ataques do WS-Discovery (descoberta dinâmica de serviços da Web) aumentaram acentuadamente, para quase 800 mil, para se tornar a terceira fonte mais comum de DDoS. A mudança se deve em parte à crescente popularidade de ataques usando dispositivos de IoT configurados incorretamente, para amplificar um ataque.

Neste modo de ataque, conhecido como amplificação refletida, os hackers estão voltando sua atenção para os dispositivos IoT expostos à Internet, executando o protocolo WS-Discovery. Projetado para suportar uma ampla variedade de casos de uso de IoT, o WS-Discovery é um protocolo de comunicação multicast baseado em UDP (User Datagram Protocol), utilizado para descobrir automaticamente os serviços conectados à Web. O WS-Discovery não realiza a validação da fonte IP, tornando simples para os invasores falsificarem o endereço do alvo. A partir disso, a vítima será inundada com dados de dispositivos IoT próximos. A maior parte do inventário descoberto até o momento foi encontrado no Vietnã, Brasil, Estados Unidos, Coreia do Sul e China.

Com mais de 800 mil hosts WS-Directory disponíveis para exploração, a amplificação refletida provou ser altamente eficaz - com amplificação observada de até 95 vezes. Os ataques de amplificação refletidas atingiram uma escala recorde, como o ataque do GitHub baseado em Memcached de 1,3 Tbps e que respondem ​​pela maioria dos ataques DDoS. Eles também são bem difíceis de defender; somente 46% dos ataques respondem à porta 3702, conforme o esperado, enquanto 54% respondem por portas mais altas.

DDoS está se tornando móvel

Os ataques DDoS são claros evidentes, permitindo que os defensores detectem seu ponto de lançamento. Embora essas armas sejam distribuídas globalmente, o maior número de ataques tem origem em países com maior densidade de conectividade à Internet, incluindo China, EUA e Coreia do Sul.

Em outra tendência importante, a prevalência de armas DDoS hospedadas por operadoras de telefonia móvel disparou perto do final de 2019.

O pior está por vir

Com os dispositivos IoT entrando on-line a uma taxa de 127 por segundo e aumentando, a situação pode se complicar. De fato, novas cepas de malware DDoS, da família Mirai, já estão direcionando dispositivos IoT baseados em Linux - e tenderão a aumentar com o 5G. Enquanto isso, os serviços de DDoS por aluguel e os criadores de bots continuam a tornar mais fácil um hacker lançar um ataque direcionado letal.

O relatório A10 Networks mostra a importância de uma estratégia completa de defesa contra DDoS. As empresas e as operadoras devem aproveitar a sofisticada inteligência de ameaças DDoS, combinada com a detecção de ameaças em tempo real, para se defender contra ataques DDoS, não importa de onde se originem. Métodos como extração automática de assinaturas e listas negras de endereços IP de botnets DDoS e servidores vulneráveis ​​disponíveis podem ajudar as organizações a se defenderem proativamente antes do início dos ataques.

Veja o relatório completo em https://www.a10networks.com/marketing-comms/reports/state-ddos-weapons/

E para verificar a atualização das armas DDoS existentes, recém-descobertas e descontinuadas incluídas no feed A10 DDoS Weapons Intelligence, acesse: https://threats.a10networks.com/

Sobre a A10 Networks

A A10 Networks (NYSE: ATEN) é uma provedora de soluções inteligentes e automatizadas de segurança cibernética, fornecendo um portfólio de soluções de aplicações seguras de alto desempenho que permitem a automação inteligente com aprendizado de máquina, para garantir que aplicações essenciais aos negócios estejam seguras e sempre disponíveis. Fundada em 2004, a A10 Networks está sediada em San Jose, Califórnia, e atende clientes em mais de 80 países com escritórios em todo o mundo. Para mais informações, visite: www.a10networks.com e @A10Networks