0

Os ataques de negação de serviço (DoS) não são novidade – de acordo com a Britannica, o primeiro caso documentado data do início de 2000. Apesar de ter sido o primeiro a ser um doozie, a Amazon e o eBay foram postos de joelhos, resultando em prejuízos estimados em 1,7 bilhões de dólares.

Hoje os ataques DoS só se tornaram muito mais sofisticados, seu potencial para causar danos tem sido multiplicado muitas vezes, já que múltiplas redes podem ser utilizadas para criar ataques distribuídos chamados de ataques DDoS. Felizmente, a proteção que temos contra essas tentativas de derrubar nossos sites também se tornou muito mais potente, mas será que as hospedagens podem realmente lidar com isso? A resposta não é assim tão simples.

O que é um ataque DDoS?

Para termos a certeza de que estamos na mesma página, vamos passar pelo que é a negação de serviço, o básico é bastante simples – apesar de existirem alguns subtipos. O simples objetivo destes ataques é sobrecarregar o seu servidor com tráfego.

É tudo o que há para dizer. Se você tivesse 10.000 amigos no Facebook e pedisse a todos eles para visitar um site tantas vezes quanto possível em um momento específico, você seria responsável por uma rudimentar tentativa de ataque de negação de serviço. Tudo o que muda entre diferentes tipos de DoS é a tecnologia utilizada e as partes da infra-estrutura da rede visada.

Se um router de rede tiver uma porta de 10Gbps (permitindo 10Gb por segundo) e um ataque enviar 11Gbps de tráfego à sua maneira, o seu website irá parar e desistir.

Há um lado negativo e um lado positivo neste método. O lado positivo é que não há nenhuma ameaça real à segurança presente. Ninguém está a tentar roubar as suas palavras-passe, dados de clientes ou base de dados de hackers. Um DDoS normalmente dura alguns dias no exterior, após o qual tudo volta ao normal.

Lamentavelmente, este também é o lado negativo. Como nada está sendo hackeado ativamente, todos os componentes do servidor estão sendo usados para o objetivo pretendido (empurrando dados para frente e para trás), é excruciantemente difícil contornar os ataques.

Como se proteger contra ataques DDoS

Na verdade, a única maneira de contorná-los é participar de uma corrida armamentista. Se uma rede pode jogar mais recursos atrás de um site do que o atacante, o site fica para cima – caso contrário, ele vai para baixo.

Não há como você ter sucesso se tiver uma pequena caixa de servidor em casa em algum lugar. Mesmo com a tecnologia mais rápida disponível, o número de atacantes de dados que podem atirar em você usando amplificação de DNS, spoofing de IP e uma rede de recursos distribuída irá ultrapassar em muito o que você tem.

O maior problema é que até as hospedagens têm problemas na área de recursos. A única maneira de proteger um site específico (ou IP) é colocar uma camada adicional entre o atacante e o seu site. A única forma da camada ser eficaz se ela própria for distribuída por uma grande rede.

A ideia é que a camada distribui o ataque no seu site por toda a rede. Isto é um pouco como a segurança social funciona em teoria. Dar cuidados de saúde a todos é caro. No entanto, nem todos precisam disso o tempo todo. Desde que todos paguem uma pequena quantia, aqueles que realmente precisam de tratamento devem ser capazes de obtê-lo gratuitamente.

Isto é bastante exato à medida que as analogias vão sendo feitas. Se uma família inteira for ferida em um acidente de carro, eles podem precisar de 300.000 dólares de cuidados médicos. No entanto, a base da segurança social é tão grande (constituída por milhões de pessoas) que isto pode ser espalhado. Se todos os beneficiários tivessem que realmente pagar por este custo, seria algo como $0.006 por pessoa, que eu pagaria com prazer para salvar uma família inteira.

Por outro lado, se os beneficiários fossem apenas 100 pessoas, cada pessoa teria de pagar $3.000, o que é uma quantia enorme, especialmente tendo em conta que não é você que está a receber tratamento. É por isso que as pequenas empresas não conseguem lidar com os ataques DDoS por conta própria.

As hospedagens estão mentindo?

Sim e não. Eles estão dobrando a verdade, ou pelo menos não estão explicando o quadro inteiro e como esses mecanismos funcionam. Por exemplo, existe um ataque DoS com o apelido SMURF. Os ataques de Smurf podem ser potentes, mas um componente é falsificar o endereço IP do ataque para corresponder às vítimas.

Isto é muito fácil de proteger, uma vez que você pode desativar a retransmissão de pedidos enviados para o endereço de transmissão de uma rede. Como esta é uma medida de proteção DDoS você pode alegar proteção contra você pode apenas dizer que em casos de grandes ataques a proteção não é garantida.

Como eu já disse antes, a única maneira de você ter alguma chance é usar uma rede enorme que pode incorrer em custos adicionais. O Cloudflare é um exemplo de uma empresa que tem uma mega-rede e oferece proteção DDoS avançada em seu plano de 200 dólares/mês. Outra alternativa popular entre os usuários do WordPress seria Sucuri, que oferece proteção DDoS a partir de $20/mês.

À luz disto, é extremamente improvável que o seu serviço partilhado de $5/mês ou mesmo o seu VPS de $99/mês ofereça qualquer proteção DDoS extensiva que contrarie os ataques de amplificação de camada 7 ou DNS, que estão entre os mais eficazes.

A razão pela qual você pode estar bastante confiante de que uma boa proteção lhe custará é que no momento você não pode se defender de muitos tipos de ataques DDoS com software. Não é uma questão de ser mais inteligente do que atacantes e escrever algum código de firewall genial que pode parar o tráfego DDoS em seus rastros. Trata-se mais de deixar entrar o tráfego adequado.

Dito isto, os hosts podem fazer muito para proteger contra aqueles tipos de DDoS que podem ser parados com software, eles podem trabalhar em conjunto com empresas de segurança, ajudar redes distribuídas com dados e muito mais.

Assim como você não anda por aí com um cartão de crédito que tem um código PIN 1234, embora seja raro o seu cartão ser roubado, as empresas de hospedagem podem estar (e normalmente estão) vigilantes quanto à segurança básica. O fato é que a proteção contra ataques grandes e coordenados está simplesmente fora do âmbito da sua rede.

As hospedagens estão mentindo?

O que você deve fazer depende do quanto você confia no seu site para ganhar dinheiro real. Os ataques DDoS não são perigosos do ponto de vista da segurança, o pior cenário é que o seu site ficará offline por alguns dias.

Se o seu site é o seu principal gerador de dinheiro, ou se você tem um negócio secundário sazonal no qual você confia, pode valer a pena investir em proteção DDoS decente durante todo o ano ou apenas para o(s) mês(es) sazonal(ais). Neste momento parece que a melhor proteção contra o DDoS é o Cloudflare e o Sucuri.

Cloudfare

Com o plano Pro do Cloudflare a $20/mês você só recebe Proteção Avançada DDoS nas Camadas 3 e 4 (leia mais sobre os ataques DDoS das Camadas 3 e 4). Isto ajudará a parar automaticamente os ataques TCP SYN, UDP e ICMP nos seus servidores de ponta, para que nunca cheguem ao seu servidor de origem. Para obter proteção de camada 7 você tem que atualizar para o plano de $200/mês. Se você acha que tem uma boa chance de ser alvo e/ou tem um site que faz dinheiro, provavelmente vale a pena o investimento.

Sucuri

Com o plano Sucuri de $20/mês, você obtém Proteção Avançada DDoS nas camadas 3 e 4, juntamente com a camada 7. Isto ajuda a detetar automaticamente alterações súbitas no tráfego e protege contra inundações POST e ataques baseados no DNS, para que nunca cheguem ao seu servidor de origem.

Um ataque de flood HTTP é um tipo de ataque de aplicativo de Camada 7 que utiliza o padrão válido de pedidos GET/POST usados para buscar informações, como em recuperações típicas de dados de URL (imagens, informações, etc.) durante sessões SSL. Uma inundação HTTP GET/POST é um ataque volumétrico que não utiliza pacotes mal formados, técnicas de spoofing ou reflexão.
Sucuri

Conheça o SISTEMA DE RIFA mais avançado!

GANHE 5% DE DESCONTO na sua primeira compra

Preencha o formulário abaixo e garanta 5% de desconto na sua primeira compra. O código do cupom é enviado por email.