Ciberguerra na nuvem: como os ataques DDoS foram mitigados em 2022

Ciberguerra na nuvem: como os ataques DDoS foram mitigados em 2022. CLM e NSFOCUS analisam as principais ocorrências, tipos, tamanhos e novas investidas, que foram barradas pelo cloud-based DDoS Protection System (DPS)

A CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, cloud e infraestrutura para data centers, analisa o relatório sobre os ataques DDoS quanto à sua distribuição por taxa de bits, tipos, tendências de tráfego e os que surgiram, em 2022, realizado pela NSFOCUS, fornecedor global de soluções inteligentes de segurança híbrida.

É importante observar, avalia o vice-presidente internacional e de produtos da CLM, Gabriel Camargo, que o estudo foi feito a partir das investidas contra infraestruturas na nuvem de provedores de serviços ISP/IDC/Hosting, empresas, governos, setor de educação e provedores de conteúdo de internet, que aconteceram em 2022, e foram mitigadas pelo centro de operações de cibersegurança da NSFOCUS, com sua solução NSFOCUS cloud-based DDoS Protection System (DPS).

Relatório traz cenário real

Portanto, estamos falando de um cenário real, que retrata a luta entre hackers x sistemas de defesa que efetivamente barram ataques DDoS”, comenta o executivo da CLM, que distribui as soluções da NSFOCUS.

  • A tendência de tráfego dos ataques DDoS, em 2022, manteve-se relativamente estável ao longo do ano, com investidas volumétricas de mais de 150 gigabits por segundo (Gbps), registrados todos os meses.
  • Dos ataques, ocorridos em 2022, 68,24% foram menores que 5 Gbps e 2,18% foram maiores que 100 Gbps.
  • No gráfico, abaixo, a NSFOCUS identificou os tamanhos dos ataques maiores que 1Gbps distribuídos mês a mês e o quanto representa cada tamanho dentro de um determinado mês.

  • A NSFOCUS observou que o terceiro trimestre de 2022 registrou volumes recordes, respondendo por 30% do total de ataques maiores que 1 Gbps em todo o ano.

  • Ao analisar os tipos de ataque, mês a mês, a empresa observou que o UDP Flood ainda era predominante e foi destacado em janeiro de 2022. O ACK Flood ficou em segundo lugar.

  • A NSFOCUS também identificou os tipos de ataques de DDoS acima de 500Mbps

  • Os três picos, em termos de tamanho, aconteceram em abril de 2022, quando a NSFOCUS mitigou um ataque DDoS volumétrico em um pico de 309,4 Gbps, incluindo 302,2 Gbps SYN Flood, com eficiência de limpeza atingindo 99,87%.

Outro ataque DDoS volumétrico mitigado pela NSFOCUS atingiu um pico de 303,7 Gbps, incluindo 302,9 Gbps SYN Flood, com eficiência de limpeza de 99,73%.
E o terceiro ataque volumétrico contendo 271,6 Gbps UDP Flood atingiu o pico de 273,9 Gbps, sendo mitigado pela NSFOCUS, com eficiência de limpeza de 99,19%.

Novos tipos de ataques em 2022

Ataque de amplificação de reflexão baseado em CVE-2022-26143 9.1.1

A NSFOCUS capturou o tráfego UDP Flood de um cliente e descobriu que a porta de destino era 10074, relacionada a explorações de vulnerabilidade descobertas há pouco tempo. Neste incidente, o invasor que utilizou a reflexão/amplificação TP-240 pode lançar um ataque DDoS de alto impacto usando um único pacote. O exame do binário tp240dvr revela que, devido ao seu design, permite, teoricamente, que o invasor faça com que o serviço emita 2.147.483.647 respostas a um único comando malicioso. Cada resposta gera dois pacotes na rede, levando a cerca de 4.294.967.294 pacotes de ataque amplificados que são direcionados à vítima.

A mitigação do ataque

A NSFOCUS limitou o tráfego UDP para o grupo de proteção no qual o endereço IP do cliente estava contido. E capturou alguns pacotes quando o UDP Flood escapou do algoritmo de proteção, descobrindo que o UDP possuía informações de cabeçalhos HTTP em dados.

Camargo explica que esses pacotes são frequentemente usados para comunicações entre dispositivos IoT. “Os invasores podem usar a reflexão para fazer com que alguns dispositivos IoT na rede pública se tornem fontes de reflexão para ataques DDoS”, assinala.

Para mitigar os ataques a NSFOCUS fez a correspondência de padrões executada no tráfego UDP e nos pacotes descartados começando com HTTP/1.1 no campo dados. Depois, trabalhou com o cliente para bloquear o tráfego na porta não comercial.

Todos os endereços IP no mesmo prefixo de rede do cliente foram atacados com UDP de 100 Mbps ao mesmo tempo, afetando sua largura de banda. O invasor usou um grande número de dispositivos bot na rede pública para enviar um pequeno número de pacotes de dados UDP para vários endereços IP do segmento de rede de destino. Dessa forma, ficou muito fácil atingir o objetivo do invasor de ocupar a largura de banda alvo, pois o pequeno número de pacotes dificulta o acionamento do limite de proteção.

Como medidas de curto prazo, é preciso colocar o segmento IP da vítima em um grupo de proteção separado e usar um limite UDP mais baixo para limitar sua velocidade. E a recomendação no longo prazo é usar o NSFOCUS Threat Intelligence (NTI) para identificar e bloquear endereços IP na rede pública onde existem ataques de carpet bombing.

O estudo está disponível no link. Vale lembrar que todos dados vêm do Active Defense Business Operations System (ADBOS) da NSFOCUS.

Veja também:

Sobre mindsecblog 2385 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!