Introdução: Ataques de negação de serviço
Um ataque de negação de serviço (DoS) é uma tentativa deliberada de tornar um site ou aplicação indisponível para os usuários ao inundá-lo com tráfego de rede. Os invasores usam uma variedade de técnicas que consomem grandes quantidades de largura de banda da rede ou vinculam outros recursos do sistema, interrompendo o acesso de usuários legítimos. Em sua forma mais simples, um invasor solitário usa uma única fonte para realizar um ataque DoS contra um alvo, conforme mostrado na imagem a seguir.
![Diagrama de ataque de DoS](images/image2.png)
Tabela 1: diagrama do ataque de DoS
Em um ataque de DDoS, um invasor usa várias fontes para orquestrar um ataque contra um destino. Essas fontes podem incluir grupos distribuídos de computadores infectados por malware, roteadores, dispositivos IoT e outros endpoints. O diagrama a seguir mostra que uma rede de hosts comprometidos participa do ataque, gerando uma inundação de pacotes ou solicitações para sobrecarregar o alvo.
![](images/image3.png)
Diagrama do ataque de DDoS
Existem sete camadas no modelo de interconexão de sistemas abertos (OSI) e elas são descritas na tabela Modelo de interconexão de sistemas abertos (OSI). Os ataques de DDoS são mais comuns nas camadas três, quatro, seis e sete. Os ataques das camadas três e quatro correspondem às camadas de Rede e Transporte do modelo OSI. Neste documento, a AWS refere-se a eles coletivamente como ataques à camada de infraestrutura. Os ataques das camadas seis e sete correspondem às camadas de Apresentação e Aplicação do modelo OSI. A AWS abordará isso em conjunto como ataques da camada de aplicação. Exemplos desses tipos de ataque serão discutidos nas seções a seguir.
Modelo de interconexão de sistemas abertos (OSI)
Nº | Camada | Unidade | Descrição | Exemplos de vetor |
---|---|---|---|---|
7 | Aplicação | Dados |
Processo de rede para a aplicação |
Inundações HTTP, inundações de consultas de DNS |
6 | Apresentação | Dados |
Representação de dados e criptografia |
Uso abusivo de TLS |
5 | Sessão | Dados |
Comunicação entre hosts |
N/D |
4 | Transporte | Segmentos |
Conexões e confiabilidade de ponta a ponta |
Inundações SYN |
3 | Rede | Pacotes |
Determinação do caminho e endereçamento lógico |
Ataques de reflexão de UDP |
2 | Link de dados | Quadros |
Endereçamento físico |
N/D |
1 | Físico | Bits |
Mídia, sinal e transmissão binária |
N/D |