Levantamento da UPX Technologies mostra que ataques distribuídos por negação de serviço ou duram menos de três horas, ou ultrapassam cinco dias

A sigla DDoS refere-se aos “ataques distribuídos por negação de serviço” e tem aparecido frequentemente por designar uma das agressões mais recorrentes e complexas a sites e portais, levando ao congestionamento do tráfego até derrubar o serviço. No Brasil, esta ocorrência tende a ser polarizada: a grande maioria tem curta duração (de até três horas), e, no outro extremo, se concentram as ações prolongadas, por mais de cinco dias.

O levantamento é da UPX Technologies, empresa especializada em infraestrutura e responsável por 5% de todo o tráfego de Internet no Brasil. Os dados coletados são de ataques contra a infraestrutura de clientes protegidos pela companhia no segundo trimestre de 2015.

“Os ataques distribuídos por negação de serviço são os principais aborrecimentos para empresas e clientes no ambiente online e podem custar até R$ 140 mil por hora para as organizações. A pesquisa traz um perfil das ocorrências e ajuda na elaboração das melhores estratégias de defesa”, comenta Bruno Prado, fundador e CEO da UPX.

Segundo a pesquisa, os ataques DDoS neste período foram de características bem distinstas. Enquanto 71% das ocorrências duraram menos de três horas, 20,4% se prolongaram para mais de cinco dias. O caso mais longo registrado, por exemplo, durou 64 dias. Além disso, o maior ataque atingiu 760 Gbps (gigabits por segundo).

Os índices apontam dois contextos: os ataques mais curtos normalmente são feitos por agressores inexperientes e acontecem para sondar as defesas do alvo ou até desenvolver táticas de ataque e fuga. Os mais longos envolvem criminosos cibernéticos habilidosos, que geralmente utilizam um mix diferente de vetores (recursos para agredir uma página).

Origem dos ataques

A pesquisa levantou a origem do tráfego de DDoS. Mais da metade (56%) é proveniente de computadores da China, Vietnã, Estados Unidos, Brasil e Tailândia.

Vetores mais utilizados

Os recursos mais comuns para os ataques são UDP (protocolo de transporte de dados) e SYN (uma requisição de protocolo de controle de transmissão na Internet). O primeiro é mais comum e está presente em 56,7% das ocorrências, contra 50,7%. Entretanto, a variação Large SYN é o que mais acarreta danos, atingindo 73,9 Gbps.

Outra característica do estudo é a diminuição dos ataques com dois ou mais vetores, método utilizado para aumentar a duração da ofensiva.  Este tipo de agressão caiu de 81% em 2014 para 43,8% em 2015. Dessa forma, 56,2% dos criminosos cibernéticos utilizam apenas um recurso para derrubar o alvo, enquanto que 22% utilizam dois vetores e 21,8% recorreram a três ou mais.

Aluguel de botnets

Uma tendência observada pela UPX é o aluguel de botnets, rede de computadores infectados por um mesmo robô, para realizar os ataques. Praticamente 40% das ocorrências foram provenientes destas máquinas. A pesquisa também identificou o custo de assinatura deste serviço, com média de US$ 55 e atingindo mais de 200 gigabits por segundo.