A empresa de segurança CloudFlare, especializada em proteger websites, publicou em seu site a informação de que um de seus clientes recebeu um ataque de negação de serviço de 400 Gbps, o maior já registrado. A Arbor Networks, concorrente da CloudFlare, confirmou que o ataque chegou a 325 Gbps, superando marcas anteriores que eram de 300 a 310 Gbps. O ataque ocorreu na segunda-feira (10), mas o mesmo só foi divulgado nesta quinta (13).
Para chegar ao volume de tráfego do ataque, os responsáveis fizeram uso de uma técnica nova chamada de “amplificação NTP”. O princípio dessa técnica é o mesmo que foi usado nos grandes ataques anteriores, chamados de “ataques refletidos”. Nesse ataque, o cracker não ataca o alvo diretamente. Em vez disso, ele falsifica a origem de uma solicitação para que essa solicitação pareça ter sido iniciada pelo alvo do ataque. Quando as respostas a essas solicitações começarem a chegar, elas sobrecarregarão o alvo.
É como se alguém enviasse milhares de cartas com o seu endereço no remetente e pudesse saber que as respostas a essas cartas serão caixas ou cartas maiores. Quando as respostas a chegarem, sua caixa de correio ficará lotada e não será possível encontrar as cartas importantes. Na internet, tudo ocorre de forma automatizada, mas alguns protocolos da rede realizam a verificação de origem. Por isso, os crackers precisam encontrar os serviços que aceitam os “remetentes” falsos e que geram as maiores respostas com as menores solicitações, aproveitando o máximo da “amplificação”.
Antes, os crackers faziam uso do protocolo DNS, que funciona sem verificação de origem. Em dezembro de 2013, porém, uma técnica nova surgiu, usando o protocolo NTP. O NTP é um serviço de data e hora, usado para sincronizar relógios de computadores. O relógio do Windows, por exemplo, é sincronizado por NTP. O motivo da escolha do NTP é a existência de um comando que retorna dados dos últimos 600 acessos ao NTP – uma informação bastante grande.
Com isso, os crackers conseguem gerar 206 vezes mais dados na resposta e, ao mesmo tempo, fazer isso em diversos servidores. Na prática, 1 Gbps de conexão resultaria em um ataque de 200 Gbps. De acordo com a CloudFlare, 4.529 servidores foram usados, alguns deles no Brasil.
Administradores de servidores NTP precisam aplicar uma atualização de software ou realizar uma configuração de filtragem para impedir que as solicitações usadas nos ataques cheguem
aos servidores.
Com informações do G1.
