O que é DRDoS?
DRDoS (Distributed Reflection Denial of Service) é uma técnica de ataque cibernético que utiliza servidores legítimos como refletores para amplificar o tráfego direcionado a um alvo. O atacante envia solicitações com IP falsificado (spoofing) para esses servidores, que respondem com pacotes muito maiores para a vítima, sobrecarregando sua infraestrutura. O ataque envolve três partes: o atacante, os refletores (servidores vulneráveis ou configurados inadequadamente) e a vítima. A falsificação de IP é um elemento-chave, pois oculta a origem real do atacante e direciona o tráfego amplificado ao alvo.
Como funciona a amplificação?
A amplificação ocorre quando um protocolo de rede retorna uma resposta significativamente maior que a requisição. O atacante explora essa característica, usando redes de bots ou scanners para identificar servidores que respondem a consultas amplificáveis. Quanto maior o fator de amplificação, menor o esforço necessário para gerar um ataque devastador. Protocolos amplificáveis comuns incluem DNS, NTP, SSDP, Memcached, CLDAP e SNMP. Por exemplo, uma única consulta DNS ANY pode resultar em uma resposta até 100 vezes maior.
Principais protocolos de amplificação
- DNS: Consultas ANY (porta 53) amplificam de 50 a 100 vezes. Mitigação: desabilitar ANY recursivo e restringir consultas a zonas autoritativas.
- NTP: O comando monlist (porta 123) amplificava até 200 vezes. Versões recentes removem essa funcionalidade; manter NTP atualizado é essencial.
- SSDP: Simple Service Discovery Protocol (porta 1900) em dispositivos UPnP amplifica cerca de 30 vezes. Desabilitar UPnP em dispositivos expostos ajuda a prevenir.
- Memcached: Protocolo de cache (porta 11211) já registrou fatores de até 10.000x. Embora menos comum hoje, servidores Memcached expostos ainda representam risco.
- CLDAP: Connectionless LDAP (porta 389) amplifica de 30 a 50 vezes. Redução de exposição pública de servidores LDAP é recomendada.
- SNMP, CharGen, RPC também podem ser abusados, mas com menor frequência.
Diferença entre DRDoS e DDoS tradicional
No DDoS tradicional, o atacante utiliza uma botnet para enviar tráfego diretamente ao alvo, consumindo a largura de banda ou recursos do servidor. No DRDoS, o tráfego é refletido e amplificado por servidores terceiros legítimos, tornando a origem mais difícil de rastrear e aumentando drasticamente o volume de dados. Enquanto um DDoS comum pode exigir muitos dispositivos comprometidos, um DRDoS pode gerar ataques massivos com relativamente poucos refletores bem escolhidos.
Impacto de ataques DRDoS
Esses ataques podem saturar links de rede, derrubar servidores web, serviços críticos e causar prejuízos financeiros e de reputação. Grandes incidentes já atingiram empresas de tecnologia, provedores de internet e instituições financeiras, com impactos que variam de horas a dias de inatividade.
Exemplos históricos de ataques DRDoS
- 2013 – Spamhaus: Um ataque de amplificação DNS contra o Spamhaus atingiu picos de 300 Gbps, afetando provedores de internet na Europa.
- 2018 – GitHub: Ataque utilizando amplificação Memcached gerou 1.35 Tbps de tráfego, um dos maiores já registrados na época. O GitHub se recuperou rapidamente com o uso do Akamai Prolexic.
- 2020 – AWS: A Amazon Web Services sofreu um ataque DDoS refletivo de 2.3 Tbps, mitigado pelo AWS Shield Advanced.
Esses casos demonstram a capacidade destrutiva dos ataques DRDoS e a importância de medidas de proteção robustas.
Como identificar um ataque DRDoS
Os principais sinais incluem aumento repentino no tráfego de entrada, especialmente em portas não utilizadas, lentidão generalizada nos serviços, alta utilização de CPU/banda e consumo excessivo de memória. Ferramentas de monitoramento como NetFlow, sFlow, e sistemas de detecção de intrusão (IDS) podem alertar os administradores. A análise de logs e a correlação de eventos ajudam a distinguir um ataque de um pico legítimo de tráfego.
Mitigação e defesa
A proteção contra DRDoS exige uma abordagem multicamadas:
- Filtragem de tráfego: Utilizar ACLs e regras de firewall para bloquear pacotes com IPs falsificados (BCP 38).
- Blackholing e sinkholing: Desviar tráfego malicioso para destinos nulos ou controlados.
- Serviços de mitigação na nuvem: Soluções como Cloudflare, AWS Shield, Akamai e Arbor Networks absorvem grandes volumes de tráfego.
- Rate-limiting: Limitar a taxa de respostas a consultas amplificáveis nos servidores.
- Desabilitação de serviços desnecessários: Remover ou restringir protocolos que possam ser usados como refletores (ex.: monlist, UPnP público, Memcached exposto).
- Atualização de sistemas: Manter servidores e software atualizados elimina vulnerabilidades conhecidas exploradas por atacantes.
As organizações também devem implementar um plano de resposta a incidentes e realizar testes regulares de resistência a DDoS.
Notícias e recursos relacionados
Confira os conteúdos em Ataques para as últimas notícias sobre DDoS e DRDoS. A categoria Defesa oferece estratégias de proteção. Veja também os artigos em Blue Team para práticas de segurança defensiva.