Ataque de negação de serviço (DDoS), embora sejam considerados “leves”, ou seja, que não causam vazamentos de dados, possibilidade de injeção de código malicioso ou infecção por malware, podem gerar graves prejuízos financeiros, principalmente por interromper a operação, além de danificar a imagem da empresa. Por esse motivo, é fundamental que as empresas se certifiquem que estão protegidas.
- MTS21 | Houston, temos um problema de comunicação entre técnicos e executivos
- MTS21 | Cibercriminosos estão oferecendo Malware as a Service na internet superficial
- MTS21 | Cibersegurança é crucial para a LGPD, diz diretor da ANPD
Segundo o chefe de arquitetura de DNS da Infoblox, Cricket Liu, ataques de DDoS são duas vezes mais ameaçadores para servidores DNS, simplesmente porque ataques de DDoS miram servidores DNS mas também precisam deles para realizar os ataques. DNS autoritativos, aqueles que basicamente gerencial a presença de um domínio na internet, são ainda mais críticos nesses casos.
Durante o Mind The Sec 2021, nesta sexta-feira (17), o executivo explicou como utilizar a solução de análise de tráfego da sua empresa, a Infloblox, para identificar possíveis ataques de DDoS. Segundo Liu, ataques de DDoS a servidores DNS autoritativos podem ser tão devastadores a ponto de derrubar o domínio, o que impacta até o recebimento de emails. “Você fica efetivamente fora da internet”.
“Isso acontece porque, infelizmente, é mais fácil encontrar servidores DNS autoritativos. É impossível escondê-los, eles têm que estar disponíveis publicamente. Basta um comando simples, como o 'dig' (dig ns company.example) para acessar uma lista de DNS autoritativos. Esses DNS autoritativos são frequentemente alvo de ataques de DDoS”, explica.
Um estudo da Netscout, publicado em janeiro de 2021, identificou, somente no ano passado, pelo menos 10 milhões de ataques de DDoS. Um aumento de mais de 1,5 milhão em comparação com o ano anterior (2019), que terminou com 8,5 milhões de registros.
E claro, a pandemia do novo coronavírus está diretamente ligada a esse aumento. Segundo o estudo, a contagem, a largura de banda e a taxa de transferência de ataques DDoS apresentaram aumentos significativos após o começo da pandemia até o final do ano.
Identificando possíveis ataques através da análise de tráfego
O executivo explica a análise e monitoramento do tráfego pode ser a solução para essa ameaça crescente. “Você pode monitorar as consultas (queries) que seus servidores DNS autoritativos estão recebendo, através da taxa agregada de consultas, ou por qual IP que está realizando mais consultas. Isso pode ser feito tanto pela solução interativa da Infoblox, como por aplicações de código-aberto, que exigem um domínio maior do assunto”.
Independente da aplicação escolhida, o interessante é analisar o tráfego para entender o que é normal e o que não é. Em alguns casos, é normal que um IP consuma 94% das consultas totais, em outros casos isso pode ser considerado um ataque. Por isso, é fundamental entender como o seu negócio se comporta.
“Entendendo o que é normal e o que não é, você provavelmente vai saber quando está sendo atacado. Você também pode definir alertas, por exemplo, quando o consumo de consultas ultrapassar determinado volume, que provavelmente pode indicar algum tipo de ataque. Ai com os alertas você vai ficar sabendo [...] Também devemos monitorar os principais clientes (IPs), quais estão enviando mais consultas e quantas consultas estão enviando”.
Como conclusão, o executivo recomenda “não colocar todos os ovos na mesma cesta”, ou seja, não configurar todos os domínios no mesmo servidor DNS autoritativo, além de claro, monitorar o tráfego da rede de forma automatizada.
Confira tudo o que já publicamos sobre o Mind The Sec 2021, a maior e mais qualificada conferência corporativa sobre segurança da informação da América Latina!