Sim, a detecção precoce é possível por meio do monitoramento vigilante do tráfego de rede e do reconhecimento de padrões incomuns indicativos de uma potencial inundação.
Um ataque de inundação de WS-Discovery é um ataque de reflexão de DDoS que usa o protocolo WS-Discovery para amplificar consideravelmente a força do ataque. Os invasores lançam inundações de WS-Discovery para sobrecarregar servidores, sites, redes ou outras máquinas com tráfego a ponto de causar lentidão ou falha. Técnicas de amplificação, como as usadas em inundações de WS-Discovery, permitem que os invasores gerem ataques massivos com pouco esforço e poucos recursos.
Qual é o significado do termo ataque de DDoS?
Um ataque de DDoS (negação de serviço distribuída) é um ataque cibernético em que hackers assumem o controle de milhares ou milhões de máquinas infectadas por malware, como computadores ou dispositivos de IoT, e as direcionam para enviar tráfego e solicitações a um alvo ou vítima; geralmente um servidor. Ao tentar responder ou compreender a enorme quantidade de solicitações, o servidor de destino fica sobrecarregado, o que causa lentidão ou falha. Como resultado, um ataque de DDoS pode derrubar sites, redes e organizações por um intervalo de tempo.
O que é um ataque de reflexão de DDoS?
Em um ataque de reflexão, os invasores falsificam endereços IP de destino, usando o endereço IP da vítima ou servidor de destino pretendido ao consultar outro servidor enviando solicitações de pacotes. Quando o sistema consultado responde à solicitação de pacote, as respostas vão para as máquinas da vítima e não para os invasores. Essa técnica permite que o tráfego DDoS seja “refletido” por meio de outras máquinas, em vez de enviar o tráfego diretamente para um alvo.
Para ampliar seus resultados, os invasores procuram refletir o tráfego de máquinas que fornecem uma resposta muito maior do que a solicitação inicial. Nesses ataques de amplificação, os invasores podem usar um número relativamente pequeno de pacotes iniciais e gastar poucos recursos para gerar grandes quantidades de tráfego que contém grandes quantidades de dados, sobrecarregando as máquinas de destino com mais rapidez e facilidade.
O que é WS-Discovery?
WS-Discovery (Web Services Dynamic Discovery), ou WSD, é um protocolo de comunicação multicast projetado para descoberta de dispositivos em redes locais. O WS-Discovery usa o UDP (User Datagram Protocol), um dos principais protocolos de transporte para comunicações pela Internet, mas também pode aproveitar o TCP (Transmission Control Protocol). Dispositivos habilitados para WSD, como câmeras IP, DVRs, alto-falantes etc., emitem beacons para facilitar a descoberta e as conexões entre dispositivos. Por exemplo, um DVR pode usar o protocolo WSD para descobrir câmeras IP próximas com as quais ele pode se comunicar. Embora não seja um protocolo amplamente conhecido, o WS-Discovery foi adotado pela ONVIF, uma organização que promove interfaces padronizadas para aumentar a interoperabilidade dos produtos de rede. Como resultado, o protocolo WSD agora está incluído em centenas de milhares de produtos em todo o mundo.
O protocolo WSD foi inicialmente planejado para ser limitado a LANs (redes locais). À medida que os fabricantes produziam hardware incorporando o serviço WSD e os usuários implantavam o hardware na Internet, os invasores encontraram um novo vetor de ataque para reflexão de DDoS.
Como funciona uma inundação de WS-Discovery?
Um ataque de DDoS do tipo reflexão de WS-Discovery explora uma vulnerabilidade no protocolo UDP/TCP. Como o UDP é um protocolo sem estado, é fácil para os invasores falsificarem ou forjar um endereço IP ao enviar solicitações para outros dispositivos. Isso permite que os invasores direcionem grandes quantidades de tráfego de dispositivos WS-Discovery para o alvo dos ataques de DDoS. Embora o TCP seja um protocolo orientado a estado ou conexão, ele ainda pode ser usado como parte dos ataques de falsificação de IP e ataques de WSD.
O que torna um ataque de inundação de WS-Discovery tão potente é que a resposta do WSD é muito maior do que a solicitação inicial. Pequenos pacotes iniciais enviados para um dispositivo WS-Discovery podem gerar respostas 75 a 150 vezes maiores. Vários ataques exibiram até mesmo taxas de amplificação de 300 e 500 vezes. Isso é consideravelmente maior do que outros ataques de protocolo UDP que tendem a ter um fator de amplificação médio de 10.
Os ataques de DDoS do tipo inundação de WS-Discovery também são difíceis de identificar. O protocolo responde com altas portas aleatórias e cargas de dados exclusivas que dificultam o reconhecimento e a mitigação do ataque. Além disso, devido ao tamanho da amplificação e da reflexão, quando o ataque se destina a sistemas ou serviços de origem, os uplinks para a Internet já estão saturados e você perde a capacidade de detectar e mitigar.
Perguntas frequentes (FAQ)
As equipes de segurança podem implementar uma variedade de proteções para se defenderem contra um ataque de reflexão de WS-Discovery.
- Bloqueio do tráfego na porta UDP 3702. As equipes de segurança podem bloquear a porta de origem UDP 3702 nos dispositivos de gateway e firewalls para evitar o tráfego WSD. No entanto, como essa abordagem não impedirá que o tráfego consuma a largura de banda dos roteadores, são recomendadas abordagens adicionais de mitigação na nuvem.
- Filtragem de IP. As equipes de segurança podem implantar tecnologia de filtragem de IP para rejeitar solicitações de endereços IP não permitidos.
- Serviços de mitigação de DDoS. A implantação de serviços de mitigação de DDoS na nuvem de um provedor líder de serviços de cibersegurança como a Akamai é uma das maneiras mais eficazes de bloquear ataques de DDoS e amplificação.
As inundações de WS-Discovery, embora não sejam ocorrências diárias, são significativas o suficiente para merecer atenção. Compreender sua frequência ajuda a elaborar estratégias proativas para segurança de rede.
Embora nenhuma rede esteja totalmente imune, as medidas de segurança proativas reduzem consideravelmente a contribuição para a vulnerabilidade das inundações de WS-Discovery.
Os riscos associados às inundações de WS-Discovery variam desde interrupções de rede até outros ataques multivetoriais que levam a potenciais violações de dados, tornando-os uma preocupação de segurança considerável.
Por que os clientes escolhem a Akamai
A Akamai potencializa e protege a vida online. As principais empresas do mundo escolhem a Akamai para criar, proporcionar e proteger suas experiências digitais, ajudando bilhões de pessoas a viver, trabalhar e se divertir todos os dias. A Akamai Connected Cloud, uma plataforma de nuvem e edge massivamente distribuída, aproxima os apps e as experiências dos usuários e afasta as ameaças.