Entendendo os ataques DDoS: um guia para administradores do WordPress
Publicados: 2019-10-10Uma negação de serviço distribuída (DDoS) é um tipo de ataque de negação de serviço (DoS) em que o ataque vem de vários hosts em oposição a um, tornando-os muito difíceis de bloquear. Como em qualquer ataque DoS, o objetivo é tornar um alvo indisponível sobrecarregando-o de alguma forma.
Geralmente, um ataque DDoS envolve vários computadores ou bots. Durante o ataque, cada computador envia solicitações maliciosas para sobrecarregar o alvo. Os alvos típicos são servidores e sites da Web, incluindo sites do WordPress. Como resultado, os usuários não conseguem acessar o site ou serviço. Isso acontece porque o servidor é obrigado a usar seus recursos para atender exclusivamente a essas solicitações.
É importante que os administradores do WordPress entendam e estejam preparados para ataques DDoS. Eles podem ocorrer a qualquer momento. Neste artigo, exploraremos o DDoS em profundidade e forneceremos algumas dicas para ajudar a manter seu site WordPress protegido.
DDoS é um ataque que visa a disrupção e não um hack
É importante entender que um ataque DDoS não é um hack malicioso do WordPress no sentido tradicional. Hacking implica que um usuário não autorizado tenha acesso a um servidor ou site que não deveria ter.
Um exemplo de hack tradicional é quando um invasor explora uma vulnerabilidade no código ou quando usa um packet sniffer para roubar senhas do WordPress. Uma vez que o hacker tenha as credenciais, ele pode roubar dados ou controlar o site.
O DDoS serve a um propósito diferente e não requer acesso privilegiado. O DDoS visa simplesmente interromper as operações normais do alvo. Com hacks tradicionais, o invasor pode querer passar despercebido por um tempo. Com DDoS, se o invasor for bem-sucedido, você saberá quase imediatamente.
Diferentes tipos de ataques distribuídos de negação de serviço
DDoS não é apenas um único tipo de ataque. Existem várias variantes diferentes e todas funcionam de maneira um pouco diferente sob o capô. Na categoria DDoS, existem várias subcategorias nas quais os ataques podem ser classificados. Abaixo estão listados os mais comuns.
Ataques DDoS volumétricos
Os ataques DDoS volumétricos são tecnicamente simples: os invasores inundam um alvo com solicitações para sobrecarregar a capacidade da largura de banda. Esses ataques não visam o WordPress diretamente. Em vez disso, eles visam o sistema operacional subjacente e o servidor web. No entanto, esses ataques são muito relevantes para sites WordPress. Se os invasores forem bem-sucedidos, seu site WordPress não exibirá páginas para visitantes legítimos durante o ataque.
Os ataques DDoS específicos que se enquadram nessa categoria incluem:
- Amplificação NTP
- Inundações UDP
Ataques DDoS na camada de aplicativo
Os ataques DDoS da camada de aplicativo se concentram na camada 7, a camada de aplicativo. Isso significa que eles se concentram em seu servidor web Apache ou NGINX e em seu site WordPress. Os ataques da camada 7 obtêm mais retorno quando se trata do dano causado em relação à largura de banda gasta.
Para entender por que esse é o caso, vamos ver um exemplo de um ataque DDoS na API REST do WordPress. O ataque começa com uma solicitação HTTP, como um HTTP GET ou HTTP POST de uma das máquinas host. Essa solicitação HTTP usa uma quantidade relativamente trivial de recursos no host. No entanto, no servidor de destino pode desencadear várias operações. Por exemplo, o servidor precisa verificar as credenciais, ler o banco de dados e retornar uma página da Web.
Nesse caso, temos uma grande discrepância entre a largura de banda que o invasor usou e os recursos que o servidor consumiu. Essa disparidade normalmente é explorada durante um ataque. Os ataques DDoS específicos que se enquadram nessa categoria incluem:
- Inundações HTTP
- Ataques de postagem lenta
Ataques DDoS baseados em protocolo
Os ataques DDoS baseados em protocolo seguem o mesmo modelo de recursos de exaustão que os outros ataques DDoS. No entanto, geralmente eles se concentram nas camadas de rede e transporte, em oposição ao serviço ou aplicativo.
Esses ataques tentam negar serviço visando dispositivos como firewalls ou a pilha TCP\IP subjacente em execução em seu servidor. Eles exploram vulnerabilidades em como a pilha de rede do servidor lida com pacotes de rede ou como funciona a comunicação TCP. Exemplos de ataques DDoS baseados em protocolo incluem:
- Syn inundações
- Ping da morte
Ataques DDoS multivetoriais
Como você pode esperar, os invasores não se limitam a apenas um tipo de ataque. Está se tornando cada vez mais comum que os ataques DDoS adotem uma abordagem multivetorial. Os ataques DDoS de vários vetores são exatamente o que você esperaria: ataques DDoS que usam várias técnicas para derrubar um alvo offline.
Entendendo a reflexão e a amplificação em DDoS
Dois termos que aparecem com frequência com ataques DDoS são reflexão e amplificação. Ambas são técnicas que os invasores usam para tornar os ataques DDoS mais eficazes.
A reflexão é uma técnica em que o invasor envia uma solicitação com um endereço IP falsificado para um servidor de terceiros. O endereço IP falsificado é o endereço do destino. Durante esse tipo de ataque, os invasores normalmente usam uma variedade de protocolos UDP. Aqui está como funciona:
- O invasor envia uma solicitação UDP com o endereço IP falsificado, digamos, o IP do seu site WordPress para um grande número de servidores chamados refletores.
- Os refletores recebem a solicitação e respondem ao IP do seu site WordPress ao mesmo tempo.
- As respostas dos refletores inundam seu site WordPress, potencialmente sobrecarregando-o e tornando-o indisponível.
A amplificação funciona de forma semelhante à reflexão. Embora exija menos largura de banda e recursos, porque as solicitações enviadas aos refletores são muito menores do que as respostas que os refletores enviam ao destino. Ele funciona de maneira semelhante ao que vimos com os ataques de negação de serviço distribuído na camada de aplicativo.
O papel dos botnets nos ataques DDoS
Já se perguntou de onde os invasores obtêm os recursos para coordenar os ataques?
A resposta é botnets. Um botnet é uma rede ou dispositivos que foram comprometidos por malware. Pode ser um PC, servidor, rede ou dispositivo inteligente. O malware permite que os invasores controlem remotamente cada host comprometido individualmente.
Quando usados para DDoS, os botnets realizam um ataque coordenado de negação de serviço contra um determinado host de destino ou grupo de hosts. Resumindo: botnets permitem que invasores aproveitem recursos em computadores infectados para realizar ataques. Por exemplo, esse foi o caso quando mais de 20.000 sites WordPress foram usados para realizar ataques DDoS contra outros sites WordPress em 2018 (leia mais).
A motivação por trás dos ataques de negação de serviço distribuído
“Por que as pessoas realizam ataques DDoS?” é uma boa pergunta para fazer neste momento. Nós analisamos por que um hacker malicioso teria como alvo seu site WordPress no passado, mas apenas um desses pontos realmente se aplica ao DDoS: o hativismo. Se alguém não concordar com seu ponto de vista, pode querer silenciar sua voz. O DDoS fornece um meio para isso.
Deixar de lado o hactivisim, a guerra cibernética em nível estadual ou os ataques industriais com motivações comerciais também são possíveis impulsionadores do DDoS. E bastante comuns também são atacantes maliciosos, adolescentes se divertindo e usando DDoS para criar algum caos.
Claro, um dos maiores motivadores é o dinheiro. Os invasores podem solicitar um resgate para parar de atacar seu site WordPress. Pode ser que eles se beneficiem comercialmente se seu site estiver fora do ar. Levando isso um passo adiante, existem DDoS para serviços de aluguel!
Exemplos do mundo real de negação de serviço distribuída
Quão severos podem ser os ataques de negação de serviço distribuído? Vamos dar uma olhada em alguns ataques DDoS famosos dos últimos anos.
GitHub (duas vezes!): O GitHub sofreu um ataque massivo de negação de serviço em 1015. Parecia que os ataques visavam dois projetos anti-censura na plataforma. Os ataques afetaram o desempenho e a disponibilidade do GitHub por vários dias.
Então, em 2018, o GitHub foi novamente alvo de um ataque DDoS. Desta vez, os invasores usaram um ataque baseado em memcaching. Eles aproveitaram os métodos de amplificação e reflexão. Apesar do tamanho do ataque, os invasores derrubaram o GitHub apenas por cerca de 10 minutos.
A nação da Estônia: abril de 2007 marcou o primeiro ataque cibernético conhecido contra uma nação inteira. Pouco depois de o governo estoniano decidir transferir a estátua do Soldado de Bronze do centro de Tallinn para um cemitério militar, ocorreram tumultos e saques. Ao mesmo tempo, os invasores lançaram vários ataques de negação de serviço distribuído que duraram semanas. Eles impactaram os serviços bancários, de mídia e do governo on-line no país.
Dyn DNS: Em 21 de outubro de 2016, a Dyn sofreu um ataque DDoS em larga escala. Por causa do ataque, os serviços DNS da Dyn não conseguiram resolver as consultas dos usuários. Como resultado, milhares de sites de alto tráfego, incluindo Airbnb, Amazon.com, CNN, Twitter, HBO e VISA, ficaram indisponíveis. O ataque foi coordenado por meio de um grande número de dispositivos IoT, incluindo webcams e babás eletrônicas.
Dicas do WordPress para se proteger contra ataques DDoS
Como administrador individual do WordPress, você não tem recursos e infraestrutura para se defender de um ataque DDoS. Embora muitos hosts da web WordPress ofereçam algum tipo de mitigação de ataques DDoS. Portanto, pergunte sobre isso ao escolher um provedor de hospedagem para o seu site WordPress. Você também pode usar um firewall de aplicativo WordPress/web (WAF) e uma rede de entrega de conteúdo (CDN) . Acoplamos WAFs e CDNs em uma única entrada, pois existem provedores, como a Sucuri, que fornecem os dois em uma única solução.
Quando você usa um WAF ou CDN, o tráfego é primeiro roteado e filtrado pelo serviço antes de chegar ao seu site. Essa configuração pode impedir muitos ataques no passe enquanto limita o dano de outros. Algumas CDNs oferecem benefícios que permitem a detecção e resposta a ataques DDoS. Como eles podem se beneficiar de economias de escala na nuvem, CDNs e WAFs online podem descarregar ataques. Eles os redirecionam para redes com muita largura de banda e as ferramentas certas para lidar com eles.
Deter hackers e ataques DDoS
No entanto, como vimos com o WordPress BruteForce Botnet, existem várias práticas recomendadas de segurança que você pode implementar em seu site WordPress para que ele não atraia a atenção de invasores e possivelmente ataques DDoS:
- Mantenha seu site WordPress atualizado: manter seu núcleo WordPress, plugins, temas e todos os outros softwares que você usa atualizados reduz o risco de uma vulnerabilidade conhecida ser usada contra você. Manter seu site atualizado também reduz as chances de ele se tornar parte de uma botnet.
- Use um scanner para verificar vulnerabilidades: alguns ataques DoS exploram problemas como o Slowloris. Esta e outras falhas de segurança podem ser detectadas por scanners de vulnerabilidade. Portanto, quando você verifica seu site e servidor da Web com frequência, identifica vulnerabilidades que os ataques DDoS podem explorar. Há uma variedade de scanners que você pode usar. Usamos o WPScan Security Scanner não intrusivo para administradores do WordPress.
- Revise os logs para melhorar a segurança e identificar problemas: os logs de auditoria do WordPress e outros logs podem ajudar a identificar comportamentos maliciosos desde o início. Por meio de logs é possível identificar problemas que podem ser causados por ataques DDoS, como códigos de erro HTTP específicos. Os logs também permitem detalhar e analisar a origem de um ataque. Existem vários arquivos de log que os administradores do WordPress podem usar para gerenciar e proteger melhor seu site.
- Reforce a autenticação do usuário: essa pode ser a última prática recomendada, mas é tão importante quanto todas as outras. Implemente políticas de senha fortes do WordPress para garantir que os usuários do seu site usem senhas fortes. Além disso, instale um plug-in de autenticação de dois fatores e implemente políticas para tornar a autenticação de dois fatores obrigatória.