servidores (Getty Images)
Da Redação
Publicado em 11 de fevereiro de 2014 às 16h03.
Última atualização em 16 de setembro de 2016 às 04h15.
Um ataque DDoS (ou ataque de negação de serviço) de grandes proporções atingiu servidores europeus e norte-americanos da empresa CloudFlare, responsável por uma rede de distribuição de conteúdo. De acordo com o CEO da companhia Matthew Prince, o volume total de tráfego chegou a incríveis 400 gigabits por segundo, tornando este o maior golpe do tipo já visto na web.
O ataque teve como alvo inicial um dos clientes do serviço, não nomeado, e usou reflexão do Network Time Protocol (NTP) para aumentar sua amplitude. O protocolo é usado para sincronizar horários entre diferentes computadores pela rede, e o método do ataque faz pedidos falsos de sincronização aos servidores NTP, sempre usando o nome da vítima. Dessa forma, um fluxo enorme de respostas inunda o site-alvo mais ou menos como demonstrado neste diagrama simples, do The Hacker News.
A adoção da técnica é relativamente recente, mas ela de certa forma lembra os ataques baseados em DNS. O método foi utilizado no último maior ataque DDoS registrado, que atingiu servidores da Spamhaus, e consiste em forjar solicitações de buscas por endereços DNS usando a identidade do alvo e uma botnet. Os pedidos são enviados a servidores abertos, e todo tráfego gerado pelas respostas é redirecionado à página atacada. A sequência é mais ou menos a que está mostrada nesta ilustração divulgada pelo SecurityAffairs.
De acordo com o site ArsTechnica, o volume de tráfego gerado pelo ataque baseado em NTP é proporcionalmente menor do que o em DNS. Mas ao mesmo tempo, há cerca de 3.000 servidores públicos que respondem a solicitações NTP, bem menos protegidos, o que permite aos atacantes fazerem mais e mais pedidos de sincronização. E a tudo isso, ainda se soma isso a existência de uma vulnerabilidade que facilita a amplificação dos pedidos.
No entanto, evitar os ataques do tipo não é tão complicado assim, como afirma a própria CloudFlare. Atualizar os servidores NTP públicos para a versão 4.2.7, que substitui o comando problemático, é uma das soluções para os administrados, e ainda há outras listadas em um post no blog da empresa.