Ataques DoS (Denial of Service) também conhecidos como ataques de negação de serviços, são ataques à computadores – como por exemplo, servidores WEB – que tem como objetivo torna-los indisponíveis para seus usuários.
Normalmente, esses ataques se utilizam de vulnerabilidades no sistema de algum servidor, para que ao se fazer um grande número de requisições, os recursos do servidor, como banda ou memória, sejam esgotados e assim, os serviços prestados pelo servidor, se tornem não mais acessíveis.
Ataques DDoS (Distributed Denial of Service), também conhecidos como ataque distribuído de negação de serviço, são ataques como os DoS, porém, muito mais potentes, uma vez que estes utilizam não somente uma máquina para atacar, mas dezenas, centenas e as vezes, até milhares de computadores, todos acessando um único servidor ao mesmo tempo. É interessante ressaltar que a carga de dados submetidas ao servidor vem, comumente, de vários computadores, em escala mundial. Há muita banda envolvida, tal que se torne difícil um servidor ser potente o suficiente para se defender de todos os ataques possíveis de DDoS.
Outro ponto interessante é que ataques DDoS, apesar de serem muito utilizados com intenções de desabilitar o uso do servidor, também podem ser utilizados como uma metodologia para testar a quantia de tráfego que um host pode suportar, servindo como teste de desempenho.
Para se entender o conceito de botnet, inicialmente deve-se entender o conceito de bot. Dizemos que um computador é um bot – abreviação da palavra em inglês robot – quando ele é infectado por algum software mal-intencionado. Esse software adquire controle sobre certas funções do computador, sem que o usuário saiba, e pode fazer com o que o computador execute tarefas via internet.
Quando falamos em botnets, falamos em grandes quantidades de computadores infectados (bots), de tal forma que eles formem uma rede. Essa rede é controlada por um computador (chamado de mestre). Com a rede sobre seu controle, é possível manipula-la, e utiliza-la para que ataques sejam cometidos.
Como a internet só se popularizou no final dos anos 80 e principalmente nos anos 90, os ataques de DoS são um tanto quanto recentes. Os primeiros tipos de ataques se davam dentre os usuários do AOL (America Online), em que um usuário enviava uma mensagem instantânea especialmente feita em HTML para outro, forçando assim a saída do servidor do usuário que recebe a mensagem. Outros ataques similares também ocorriam em servidores IRC (Internet Relay Chat), mas todos esses ataques não afetavam a conexão de internet, nem a máquina das vítimas. Vale ressaltar que esses ataques eram feitos mas raramente reportados, pois a motivação dos ataques era mais de brincadeira e feitos com pessoas mais novas, e quando feitos com adultos, eles raramente entendiam o que acontecia, e mesmo se entendessem, não achavam a gravidade do problema suficientemente grande para uma reação mais rigorosa.
Foi somente no meio dos anos 90 que os ataques de DoS tomaram uma forma mais séria, e começaram a fazer danos significativos à usuários e empresas. Os primeiros ataques exploravam falhas e vulnerabilidades no sistema operacional da vítima. Com esses ataques, os computadores atacados ficavam “congelados” e desligavam, inclusive servidores web, que só voltavam ao normal quando o administrador reiniciava todo o sistema. Alguns ataques dessa natureza eram bastante conhecidos, como o WinNuke e Teardrop.
Apesar de funcionais, os ataques citados podiam ser facilmente parados. A próxima onda de ataques, entretanto, não. Novos ataques foram aparecendo com o decorrer do tempo, ataques estes que agora se baseavam em “inundar” a conexão de internet remota de um usuário, ou seja, o ataque não dependia do sistema operacional e nem de suas falhas, uma vez que o foco do ataque era em outra camada. Qualquer usuário poderia receber esses ataques, e, caso a banda do atacante fosse maior que a da vítima, era praticamente inútil tentar se defender, apesar de tentativas de administradores de implementar firewalls.
No final dos anos 90, popularizou-se os chamados Smurf Attacks, e por volta do ano 2000, os atacantes desenvolveram novas ferramentas por conta da descoberta de uma forma de se proteger de tais ataques; formas essas que baseavam-se em negar as requisições ICMP e a adicionar firewalls eficientes. Foi nessa hora que os Synfloods surgiram. Serão discutidas o que são realmente, e como funcionam as técnicas de ataque, bem como os métodos usados para se proteger dos mesmos, nos próximos tópicos.
Nos dias de hoje, vemos ataques muito mais poderosos, como por exemplo, os ataques do grupo “Anonymous”, em que foi reportado que, em 2010, eles tinham em seu controle mais de 1 milhão de computadores, os quais eles utilizavam para fazer massivos ataques de DDoS à servidores da internet, e conseguiram derrubar servidores realmente fortes, como visa.com, mastercard.com e paypal.com, todos ao mesmo tempo. Apesar da motivação de ataques ter normalmente intenções malignas, o mesmo grupo Anonymous realiza a grande maioria dos seus ataques para fazer protestos contra o governo, ou uma empresa em particular, visando atrair a atenção do público para o problema em questão, e mobilizar as pessoas à lutar para solucionar o problema.
Vale ressaltar que neste ano de 2013, aconteceu o chamado maior ataque cibernético da história, em que foram gerados mais de 300 gigabits por segundo, no auge do ataque.