Por Carlos Cabral
A Internet é um lugar barulhento. Sob os mecanismos de comunicação que conseguimos perceber — como o acesso a um website, por exemplo — há uma densa camada formada pelo tráfego de fragmentos de comunicação. Esse subterrâneo da rede geralmente compreende resquícios de conexão que não foram bem sucedidas, sejam eles falhas de conexão, bugs em aplicações que disparam pacotes para destinos erráticos ou ataques de negação de serviço (DoS).
Seis pesquisadores de universidades dos Estados Unidos, Holanda e Alemanha analisaram esse “ruído” por dois anos com o objetivo de identificar padrões em ataques de negação de serviço e os resultados, publicados em uma conferência em Londres, trouxeram alguns padrões esclarecedores sobre esse tipo de ataque.
Os dados da pesquisa, coletados entre março de 2015 e fevereiro desse ano, foram obtidos de quatro fontes:
» De um sistema de monitoramento de tráfego operado pela Universidade da Califórnia em San Diego chamado UCSD Network Telescope;
» Dos registros de log de honeypots mantidas pela Saarland University preparadas para coletar dados de ataques DDoS de amplificação — em que o atacante abusa de outras máquinas para amplificar o ataque;
» Dos dados de uma plataforma para a medição do ciclo de vida de nomes de domínio, mantida pela University of Twente, e
» Da identificação, em meio a todas essas informações, dos ataques que chegavam a 10 provedores de serviços de proteção contra ataques de negação de serviço, DDoS Protection Services (DSPs).
O UCSD Network Telescope possui a função de coletar deflexões nas comunicações, chamadas de backscatter e formadas por pacotes de resposta a comunicações não solicitadas, como tentativas de conexão com endereços que não estão vinculados a nenhum dispositivo (destino inalcançável). Esse tipo de resposta é muito comum na comunicação feita por sistemas defeituosos, mal configurados e também em varreduras de rede e ataques de negação de serviço.
Com os dados Network Telescope, foi necessário separar informações de ataques de DoS do resto e combiná-las com os dados dos honeypots (AmpPot) da Saarland University. O conjunto de 24 honeypots foi configurado para simular computadores vulneráveis, passíveis de serem convertidos em amplificadores de ataque e que enganam o atacante para que este acredite que o suposto amplificador está contribuindo com ataque quando, na verdade está coletando informações estatísticas como os endereços IP da vítima e dados sobre a intensidade do ataque como data e hora de início e fim e a taxa de requisições por minuto.
Tanto o Network Telescope como os honeypots trabalham com endereços IP, de modo que era necessário também considerar a relação desses endereços com as mudanças de nomes de domínio no decorrer dos dois anos da pesquisa. Nesse aspecto, as medições do projeto OpenINTEL da University of Twente foram essenciais para dar mais embasamento ao estudo.
Por fim, considerando que o estudo tinha como objetivo medir a adoção de DDoS Protection Services, foi avaliado o quanto da comunicação chegava nos seguintes provedores dessas soluções: Akamai, CenturyLink, CloudFlare, DOSarrest, F5 Networks, Incapsula, Level3, Neustar, VirtualRoad e Verisign.
Embora os pesquisadores tenham demonstrado a crescente adoção desses serviços, os dados sobre eles acabaram sendo ofuscados na pesquisa pelo número de ataques que foi contabilizado. Segundo Alberto Dainotti, um dos pesquisadores, “Estamos falando sobre milhões de ataques. Os resultados desse estudo são gigantescos quando comparados com o que as empresas vêm reportando ao público”.
Foi identificado que a média de ataques por dia é de 28,7 mil, que os Estados Unidos e a China são os maiores alvos de ataques com, respectivamente, 25% e 10% de todos os ataques diretos e 29% e 10% dos ataques amplificados. Adicionalmente, os dados demonstraram que um terço dos websites da Internet foram alvos de ataques no período e que frequentemente um mesmo alvo é vítima de dois ou mais ataques simultâneos.