# T1498.001 - Direct Network Flood > [!warning] Técnica de Impacto - Negação de Serviço > O Direct Network Flood é a forma mais direta de ataque DDoS: saturar a largura de banda ou os recursos de rede do alvo com volume massivo de tráfego. Botnets de milhões de dispositivos tornam esse ataque acessível até para agentes menos sofisticados. ## Técnica Pai Esta é uma sub-técnica de [[t1498-network-denial-of-service|T1498 - T1498 - Network Denial of Service]]. ## Descrição **Direct Network Flood** (T1498.001) é uma sub-técnica de [[t1498-network-denial-of-service|T1498 - Network Denial of Service]] na qual um ou mais sistemas enviam um volume massivo de pacotes de rede diretamente para o serviço ou infraestrutura alvo, com o objetivo de saturar sua largura de banda ou esgotar recursos de processamento, resultando em **negação de serviço (DoS/DDoS)**. Diferentemente de ataques de reflexão/amplificação (T1498.002), o Direct Network Flood é direto: o tráfego malicioso parte dos sistemas controlados pelo adversário e atinge diretamente o alvo sem intermediários. Práticamente qualquer protocolo de rede pode ser utilizado - UDP, ICMP, TCP, HTTP - sendo os protocolos *stateless* (UDP e ICMP) os mais comuns por não exigirem handshake. A técnica é empregada em contextos variados: desde ativismo cibernético e extorsão até operações de Estado com objetivo de desestabilizar infraestrutura crítica. [[t1584-005-botnet|Botnets]] são o principal vetor amplificador - redes de milhões de dispositivos comprometidos (incluindo IoT) podem gerar tráfego de terabits por segundo. ### Tipos de Flood Mais Comuns | Tipo | Protocolo | Mecanismo | Volume Típico | |------|-----------|-----------|---------------| | UDP Flood | UDP | Pacotes para portas aleatórias forçam ICMP "port unreachable" | Multi-Gbps | | ICMP Flood (Ping Flood) | ICMP | Echo requests em massa esgotam processamento | Gbps | | SYN Flood | TCP | Handshakes incompletos esgotam tabela de conexões | Mpps | | HTTP Flood | HTTP/S | Requisições legítimas em volume impossível | Milhões req/s | | DNS Query Flood | UDP/53 | Consultas DNS legítimas em volume massivo | Alto | | NTP Flood | UDP/123 | Uso direto de servidores NTP como fonte | Alto | --- ## Como Funciona ### 1. Construção ou Aluguel da Infraestrutura de Ataque O adversário precisa de volume de tráfego suficiente para saturar o alvo. As principais abordagens: - **Botnet própria**: Comprometimento de dispositivos (servidores, PCs, IoT) ao longo do tempo, controlados via [[c2|C2 centralizado]] ou P2P. Redes como [[mirai-botnet|Mirai]], Mozi e Emotet-DDoS são exemplos históricos. - **Aluguel de DDoS-as-a-Service**: O ecossistema criminoso oferece serviços de *stresser* e *booter* - plataformas acessíveis por USD 20-200/hora que já possuem infraestrutura de botnet construída. - **Comprometimento de servidores cloud**: Instâncias IaaS comprometidas possuem largura de banda alta e endereços IP reputados, dificultando o bloqueio. - **Dispositivos IoT**: Câmeras, roteadores e DVRs mal configurados compõem botnets de centenas de milhares de nós com conexões residenciais de banda larga. ### 2. Geração e Envio do Tráfego Malicioso Com a infraestrutura pronta, o adversário: - Configura os nós da botnet para gerar tráfego no protocolo e volume desejados. - Em UDP Flood: gera pacotes com payloads aleatórios para portas aleatórias ou específicas do serviço alvo. - Em SYN Flood: envia pacotes TCP SYN com endereços IP de origem forjados (*IP spoofing*), impedindo a conclusão do three-way handshake e esgotando a tabela de conexões do servidor. - Em ataques volumétricos: o objetivo é saturar o *uplink* do alvo, tornando qualquer comúnicação legítima impossível. ### 3. Impacto Operacional O efeito imediato é a **indisponibilidade** do serviço alvo: - Servidores web retornam timeout ou erros 503. - Sistemas de e-mail, DNS e autenticação ficam inacessíveis. - Custos de transferência de dados em cloud (IaaS) podem ser significativos - *bill attack*. - Operações dependentes do serviço atacado são paralisadas (pagamentos, comúnicações, acesso a sistemas críticos). ### 4. Evasão e Persistência do Ataque Adversários sofisticados adaptam o ataque em tempo real: - Mudança de protocolo ou porta ao detectar que o alvo implementou bloqueio. - Rotação de IPs de origem (especialmente em botnets distribuídas globalmente). - Combinação com ataques de camada de aplicação para dificultar a mitigação puramente volumétrica. --- ## Attack Flow ```mermaid graph TB A["Adversário<br/>(Ator de Ameaça)"] --> B["Construção / Aluguel<br/>de Botnet"] B --> C["IoT Comprometidos<br/>(Mirai / Mozi)"] B --> D["Servidores VPS<br/>Comprometidos"] B --> E["DDoS-as-a-Service<br/>(Stresser / Booter)"] C --> F["Coordenação C2<br/>(Comando de Ataque)"] D --> F E --> F F --> G["Geração de Tráfego<br/>(UDP / ICMP / SYN)"] G --> H["IP Spoofing<br/>(Evasão de Rastreamento)"] H --> I["Flood Direto ao Alvo<br/>(Saturação de Banda)"] I --> J1["Indisponibilidade<br/>do Serviço"] I --> J2["Esgotamento de<br/>Recursos (CPU/Memória)"] I --> J3["Custos Operacionais<br/>(Bill Attack em Cloud)"] style A fill:#2c3e50,color:#fff style I fill:#c0392b,color:#fff style J1 fill:#e74c3c,color:#fff style J2 fill:#e74c3c,color:#fff style J3 fill:#e74c3c,color:#fff ``` --- ## Exemplos de Uso ### Operação Ababil - Ataques a Bancos dos EUA (2012) Uma das séries de ataques DDoS mais significativas da história, atribuída ao Izz ad-Din al-Qassam Cyber Fighters (com vínculos ao Irã), atingiu grandes bancos americanos como Bank of America, JPMorgan Chase, Wells Fargo e Citigroup. Os ataques geraram picos de tráfego de **60-100 Gbps**, utilizando servidores web comprometidos como infraestrutura de ataque - uma abordagem inovadora que substituiu botnets tradicionais de PCs por servidores de alta capacidade. ### Botnet Mirai - Ataque à Dyn DNS (2016) Em outubro de 2016, a botnet [[mirai-botnet|Mirai]] - composta por centenas de milhares de dispositivos IoT comprometidos (câmeras, DVRs, roteadores) - gerou um ataque DDoS de **1.2 Tbps** contra o provedor DNS Dyn. O ataque derrubou serviços como Twitter, Netflix, Reddit, GitHub e Spotify. O código-fonte do Mirai foi disponibilizado publicamente, democratizando o acesso a botnets IoT. ### Ataques à Ucrânia - Conflito 2022 Dias antes da invasão militar russa em fevereiro de 2022, infraestrutura governamental e financeira ucraniana sofreu ataques DDoS massivos atribuídos ao [[g0034-sandworm|Sandworm]] e grupos hacktivistas pró-russos. Os ataques combinaram Direct Network Flood com ataques de amplificação, visando ministerios, bancos e o setor de telecomúnicações. ### Killnet - Ataques a Infraestrutura Ocidental (2022-2023) O grupo hacktivista pró-russo [[killnet|Killnet]] conduziu campanhas de DDoS contra hospitais, aeroportos, parlamentos e serviços governamentais em países da OTAN, usando Direct Network Flood baseado em voluntários e ferramentas como LOIC (*Low Orbit Ion Cannon*) e scripts Python customizados. ### Anonymous Sudan - Ataque à Microsoft (2023) O grupo [[anonymous-sudan|Anonymous Sudan]] reivindicou ataques DDoS que derrubaram os serviços Azure, Outlook e OneDrive da [[_microsoft|Microsoft]] por horas em 2023, utilizando botnets baseadas em cloud e técnicas avançadas de flood HTTP/2 que saturaram os sistemas de mitigação da Microsoft. --- ## Detecção A detecção de DDoS volumétrico é desafiadora porque o tráfego malicioso é frequentemente indistinguível de tráfego legítimo em nível de pacote individual. ### Sigma Rule - Detecção de Flood UDP em Alta Velocidade ```yaml title: High Volume UDP Traffic - Potential UDP Flood status: experimental description: > Detecta volumes anormais de tráfego UDP que podem indicar flood em andamento ou host comprometido participando de botnet DDoS. logsource: category: network_traffic product: zeek detection: selection: proto: udp timeframe: 10s condition: selection | count() > 10000 level: high tags: - attack.impact - attack.t1498.001 falsepositives: - Streaming de vídeo UDP legítimo em escala - VoIP em alto volume - Ambientes de DNS resolver de alta carga ``` ### Sigma Rule - SYN Flood (Tabela de Conexões) ```yaml title: TCP SYN Flood - Half-Open Connections Spike status: experimental description: > Detecta pico anormal de conexões TCP em estado SYN_RECEIVED, característico de ataques SYN Flood. logsource: category: network_connection product: windows detection: selection: Initiated: 'false' State: 'SYN_RECEIVED' timeframe: 30s condition: selection | count() > 5000 level: high tags: - attack.impact - attack.t1498.001 falsepositives: - Servidores web de muito alto tráfego durante picos legítimos ``` ### Indicadores de Detecção por Camada | Camada | Indicador | Ação | |--------|-----------|------| | Rede | Spike súbito de tráfego (>3x baseline) | Alerta imediato + acionamento de mitigação | | Rede | Alto volume de pacotes UDP para portas aleatórias | Bloquear protocolo ou limitar raté | | Rede | Muitos IPs únicos em curto intervalo (botnet distribuída) | Analisar padrão geográfico | | Rede | Tráfego ICMP excessivo (Ping Flood) | Raté limiting ICMP | | Sistema | CPU/memória de firewall próxima de 100% | Ativar scrubbing center | | Cloud | Pico anormal em métricas de ingress (bytes in) | Auto-scaling + ativação de WAF/DDoS protection | --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1037 | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Implementar ACLs e regras de firewall para descartar tráfego malicioso. Usar BGP Blackhole (RTBH) para desviar tráfego de ataque em nível de ISP. | | - | DDoS Protection Service | Contratar serviços especializados como Cloudflare DDoS Protection, AWS Shield Advanced, Akamai Prolexic. Essenciais para organizações com alta exposição. | | - | Raté Limiting | Configurar raté limiting por IP, protocolo e porta. Evita esgotamento de recursos em ataques de baixo volume. | | - | Anycast Routing | Distribuir tráfego entre múltiplos PoPs geograficamente distribuídos, diluindo o impacto de ataques volumétricos. | | - | Scrubbing Centers | Redirecionar tráfego para centros de limpeza (scrubbing) que separam tráfego legítimo de malicioso antes de entregar ao destino. | | - | Ingress Filtering (BCP38) | Bloquear pacotes com endereços IP de origem forjados (spoofed) na borda da rede, dificultando UDP/ICMP floods com IP spoofing. | | - | Segmentação e Resiliência | Implementar redundância de links e diversidade de provedores de upstream para absorver ataques volumétricos. | --- ## Contexto Brasil/LATAM O Brasil está consistentemente entre os países mais afetados por ataques DDoS na América Latina, reflexo da alta digitalização da economia e infraestrutura financeira robusta - alvos atrativos para extorsão e ativismo. ### Cenário de Ameaças DDoS no Brasil O setor financeiro brasileiro é um alvo primário, com grandes bancos como Itaú, Bradesco, Nubank e Banco do Brasil registrando ataques DDoS regulares. O sistema de pagamentos Pix, por processar transações em tempo real para mais de 100 milhões de usuários, representa um alvo de alto impacto - uma interrupção de horas pode paralisar transações comerciais em escala nacional. **Grupos ativos com histórico de ataques DDoS no Brasil:** - **KillNet** e afiliados: Apesar do foco europeu, realizaram ataques oportunistas contra infraestrutura brasileira durante 2022-2023. - **Grupos hacktivistas locais**: Movimentos como Anonymous Brasil conduzem ataques DDoS contra instituições governamentais em momentos de tensão política. - **Grupos criminais**: Extorsão via DDoS (*RDoS - Ransom DDoS*) é prática crescente, especialmente contra [[_sectors|e-commerce, fintechs e operadoras de telecomúnicações]]. ### Infraestrutura Crítica em Risco - **Setor de Saúde**: Hospitais e planos de saúde com sistemas online são vulneráveis - interrupções impactam diretamente operações clínicas. - **Eleições**: O TSE (Tribunal Superior Eleitoral) implementou proteções específicas após tentativas de ataque DDoS durante as eleições presidenciais de 2022. - **Telecomúnicações**: Operadoras como Vivo, Claro, TIM e Oi são alvos estratégicos - um ataque bem-sucedido pode impactar toda a camada de conectividade do país. ### Legislação Brasileira Relevante - **Lei 12.737/2012 (Lei Carolina Dieckmann)**: Tipifica crimes cibernéticos, incluindo ataques de negação de serviço, com penas de detenção. - **Marco Civil da Internet (Lei 12.965/2014)**: Estabelece responsabilidades de provedores e protege dados de tráfego. - **LGPD (Lei 13.709/2018)**: Ataques DDoS que resultem em indisponibilidade prolongada de sistemas que processam dados pessoais podem configurar incidentes de segurança notificáveis à ANPD. --- ## Referências - [MITRE ATT&CK - T1498.001](https://attack.mitre.org/techniques/T1498/001) - [CISA - Understanding and Responding to DDoS Attacks](https://www.cisa.gov/sites/default/files/publications/understanding-and-responding-to-ddos-attacks_508c.pdf) - [Cloudflare - DDoS Threat Report Q4 2024](https://blog.cloudflare.com/ddos-threat-report-2024-q4/) - [Akamai - State of the Internet / Security Report](https://www.akamai.com/resources/research-paper/state-of-the-internet) - [NETSCOUT - Threat Intelligence Report LATAM](https://www.netscout.com/threatreport/) - [US-CERT - Understanding Denial-of-Service Attacks](https://www.cisa.gov/news-events/news/understanding-denial-service-attacks) - [Mandiant - APT Groups and DDoS Operations](https://www.mandiant.com/)