No dia 8 de dezembro de 2010, um grupo de hackers lançou ataques de DDoS (Distributed Denial of Service - Negação de serviço distribuído) contra os servidores Web da Visa e da PayPal. Outro incidente ocorreu quase ao mesmo tempo, quando os hackers conseguiram atingir o site oficial do governo sueco. Esses ataques foram muito bem-sucedidos. Todos os serviços oferecidos por esses sites foram seriamente interrompidos.
Se empresas importantes, como a Visa, que opera em um nível global, não conseguem impedir esses ataques, os governos e as agências governamentais poderão por um fim nesses ataques a seus servidores Web? A resposta simples é “não” — ou, talvez, “provavelmente não”.
Para compreender por que é tão difícil se proteger contra esses tipos de ataques, considere precisamente o que é um ataque de DDoS e em que ele difere de um ataque de DoS (Negação de serviço). Então, você poderá pensar nas medidas que deverá tomar para se preparar e isolar sua infraestrutura desses ataques.
Inundação de conexões:
Uma das limitações que todos os computadores têm é o número máximo de conexões simultâneas. Não pode haver, em momento nenhum, mais de 65.535 conexões a um mesmo servidor ou PC baseado no Windows. Essa é uma limitação interessante e que tem um significado especial, pois ela fornece a base para um ataque de DoS padrão.
Se um hacker, ou um grupo de hackers, puder manter 65.535 sessões simultâneas com um servidor, ele certamente negará esse serviço eficientemente a qualquer outra pessoa que queira se conectar a ele. Ninguém mais conseguirá se conectar até que alguma das conexões seja interrompida. Quando um servidor Web atinge esse limite, ele não pode mais aceitar outras conexões — por isso, ocorre a negação de serviço.
Em geral, existem dois tipos de ataques de DoS. Alguns têm como objetivo causar uma falha no sistema (como o “ping da morte”). Outros pretendem inundar o sistema com solicitações de recursos (largura de banda, tempo do processador, espaço em disco e assim por diante). Ambos são potencialmente devastadores de formas diferentes.
Você pode configurar seus roteadores para que eles não respondam a solicitações de ping ou a difusões e não encaminhem pacotes direcionados a endereços de difusão. Os dispositivos modernos de filtragem de IPs agora são bastante inteligentes a ponto de minimizar essas ameaças ao ignorar qualquer ping que tenha um tamanho superior a um valor definido. Eles também podem ser definidos para permitir um número limitado de conexões simultâneas de qualquer endereço IP único.
Limitar a quantidade de conexões simultâneas será uma medida eficiente contra os ataques de inundação de DoS se o limite definido for baixo — algo como cinco ou seis conexões, por exemplo. Para gerar solicitações de recursos suficientes, seria necessário um número bastante alto de hackers envolvidos — mais do que poderia ser organizado em um grupo. Por isso, os hackers de DoS precisaram encontrar uma alternativa.
Os ataques de DDoS permitiram que os hackers contornassem essa restrição. Em um ataque de DDoS, os hackers não enviam o ataque de DoS de seus próprios PCs. Em vez disso, eles usam uma rede de PCs na qual tenham conseguido colocar um “agente zumbi”. Isso permite que eles usem esses PCs para disparar um ataque de DDoS (conhecido como botnet). Um hacker poderia estar controlando vários milhares de “agentes zumbi”, cada um usando cinco ou seis conexões com um servidor Web sem que o proprietário do PC tivesse algum conhecimento do que está acontecendo.
Um pequeno grupo de hackers, agindo em conjunto, poderia facilmente negar o acesso a qualquer usuário legítimo ou até mesmo gerar uma falha em um sistema inteiro. A tecnologia atual de filtragem de IPs não pode impedir esses tipos de ataques. Então, há algo que possamos fazer?
Existem medidas atenuantes (junto com motivos para elas, provavelmente, não funcionarem):
Trabalhe para garantir que os sistemas operacionais de todos os PCs estejam totalmente protegidos contra todos os tipos de infiltração de malware. Essa é uma boa ideia, mas um pouco impraticável. Mesmo que você pudesse fazer isso, não conseguiria impedir que pessoas ingênuas abrissem emails não solicitados, clicassem duas vezes em anexos e instalassem sem querer um cavalo de Troia.
Instale seu aplicativo do serviço Web em um grande número de servidores independentes baseados em diferentes partes do mundo. Cada um deles ainda poderia ser invadido, mas as chances de todos ficarem indisponíveis seriam baixas.
Instale seu aplicativo do serviço Web em um grande número de servidores independentes em um único local. Faça frente com uma matriz de equipamentos de balanceamento de carga. Talvez isso seja bastante caro, mas se o serviço que você está fornecendo for essencial, então quanto vale para a organização que está sendo hospedada não estar sujeita a um ataque bem-sucedido?
Ataques de DDoS acontecem. Até os governos não estão imunes. No início do segundo semestre de 2010, o servidor da Irish Central Applications Office foi atingido por um ataque de DDoS. Em 2009, durante as eleições no Irã, o site oficial do governo iraniano foi atacado e ficou inacessível. Em 2001, o servidor do Departamento de Finanças do governo irlandês foi atingido por um ataque de DDoS.
No momento, não existe nenhum método infalível para evitar um ataque de DDoS. No entanto, no caso de serviços Web essenciais, você deve fazer alguma coisa — porque ficar sentado esperando por um ataque não é uma opção. Você deve decidir qual a melhor estratégia para proteger sua organização.
Fonte: Microsoft Technet
quinta-feira, 30 de junho de 2011
sexta-feira, 3 de junho de 2011
Primeiro Vídeo da Microsoft do Windows 8
A Microsoft divulgou o primeiro vídeo do Windows 8. Veja através do link abaixo:
http://ztop.com.br/2011/06/01/windows-8-diz-ola-e-windows-phone-7-pede-explicacoes/
Quando ele estiver em pré-venda estaremos divulgando em nosso site.
http://ztop.com.br/2011/06/01/windows-8-diz-ola-e-windows-phone-7-pede-explicacoes/
Quando ele estiver em pré-venda estaremos divulgando em nosso site.
Assinar:
Postagens (Atom)
