Introdução: Ataques de negação de serviço - Práticas recomendadas para resiliência contra DDoS da AWS

Introdução: Ataques de negação de serviço

Um ataque de negação de serviço (DoS) é uma tentativa deliberada de tornar um site ou aplicação indisponível para os usuários ao inundá-lo com tráfego de rede. Os invasores usam uma variedade de técnicas que consomem grandes quantidades de largura de banda da rede ou vinculam outros recursos do sistema, interrompendo o acesso de usuários legítimos. Em sua forma mais simples, um invasor solitário usa uma única fonte para realizar um ataque DoS contra um alvo, conforme mostrado na imagem a seguir.

Diagrama de ataque de DoS

Tabela 1: diagrama do ataque de DoS

Em um ataque de DDoS, um invasor usa várias fontes para orquestrar um ataque contra um destino. Essas fontes podem incluir grupos distribuídos de computadores infectados por malware, roteadores, dispositivos IoT e outros endpoints. O diagrama a seguir mostra que uma rede de hosts comprometidos participa do ataque, gerando uma inundação de pacotes ou solicitações para sobrecarregar o alvo.

Diagrama do ataque de DDoS

Existem sete camadas no modelo de interconexão de sistemas abertos (OSI) e elas são descritas na tabela Modelo de interconexão de sistemas abertos (OSI). Os ataques de DDoS são mais comuns nas camadas três, quatro, seis e sete. Os ataques das camadas três e quatro correspondem às camadas de Rede e Transporte do modelo OSI. Neste documento, a AWS refere-se a eles coletivamente como ataques à camada de infraestrutura. Os ataques das camadas seis e sete correspondem às camadas de Apresentação e Aplicação do modelo OSI. A AWS abordará isso em conjunto como ataques da camada de aplicação. Exemplos desses tipos de ataque serão discutidos nas seções a seguir.

Modelo de interconexão de sistemas abertos (OSI)

Camada Unidade Descrição Exemplos de vetor
7 Aplicação Dados

Processo de rede para a aplicação

Inundações HTTP, inundações de consultas de DNS

6 Apresentação Dados

Representação de dados e criptografia

Uso abusivo de TLS

5 Sessão Dados

Comunicação entre hosts

N/D

4 Transporte Segmentos

Conexões e confiabilidade de ponta a ponta

Inundações SYN

3 Rede Pacotes

Determinação do caminho e endereçamento lógico

Ataques de reflexão de UDP

2 Link de dados Quadros

Endereçamento físico

N/D

1 Físico Bits

Mídia, sinal e transmissão binária

N/D

Tópicos