Os ataques de negação de serviço continuam entre as ameaças mais persistentes ao panorama digital. Compreender a sua arquitetura — e em particular a técnica de reflection — é essencial para qualquer profissional de cibersegurança que pretenda detetar, atribuir e mitigar estas operações.
Do DoS ao DDoS: a escala importa
Um ataque de Denial of Service (DoS) tem um único objetivo: tornar um serviço indisponível para os seus utilizadores legítimos, esgotando recursos como largura de banda, processamento ou memória do alvo.
Quando este ataque é lançado em simultâneo a partir de múltiplas origens, passa a ser distribuído — Distributed Denial of Service (DDoS) — multiplicando o seu impacto e dificultando exponencialmente a sua mitigação. É aqui que entra a reflexo (reflection).
Reflection: esconder a origem real
A reflexo é a técnica utilizada para ocultar a origem última do ataque. A grande maioria dos ataques DDoS provém daquilo a que chamamos uma botnet — uma rede de dispositivos ligados à Internet infetados por malware e sob o controlo de uma única entidade.
Um ataque DDoS executado através de uma botnet apresenta tipicamente duas ou três funções principais, cada uma com um papel específico na cadeia de comando. É essa estratificação que torna a atribuição tão complexa: quando uma equipa defensiva identifica uma máquina envolvida no ataque, está quase sempre a olhar para uma vítima — não para o adversário real.
As três funções de uma operação DDoS
Camada 1
Command & Control (C&C)
O verdadeiro atacante — aquele que emite as ordens para lançar o ataque. Os operadores de C&C fazem todos os esforços para permanecerem ocultos, evitando ser detetados ou identificados. Este é o cérebro da operação e o alvo final de qualquer investigação forense.
Camada 2
Bots (a botnet)
Os bots constituem a botnet em si. Estas redes podem ser compostas por dois ou três sistemas ou estender-se por centenas de milhares de computadores comprometidos a operar em uníssono sob a coordenação do C&C. Os proprietários dos sistemas raramente se apercebem de que as suas máquinas estão a ser usadas em ataques contra terceiros.
Camada 3
Bot Herder
Atua como uma camada adicional de isolamento entre o C&C e a botnet. Algumas operações sofisticadas chegam a empilhar várias camadas de bot herders. À semelhança dos bots, os bot herders são também tipicamente máquinas comprometidas — os seus proprietários desconhecem por completo o papel que desempenham nos ataques em curso.
A cadeia de comando, vista de cima
O fluxo numa operação DDoS com várias camadas é sempre o mesmo: a ordem desce do C&C, passa por um ou mais bot herders e só depois chega aos bots que disparam o tráfego contra o alvo.
[ C&C ] → [ Bot Herder ] → [ Bot Herder ] → [ Bots ] → ALVO
Cada salto é uma máquina comprometida — O que a vítima vê nunca é o atacante real
Porque é que esta arquitetura funciona
A estrutura em camadas serve um propósito muito claro: dificultar a atribuição. Quando uma equipa de resposta a incidentes consegue identificar um bot, está a olhar para uma vítima — não para o atacante. Mesmo que consiga subir um nível e localizar um bot herder, está ainda perante outra máquina comprometida. O C&C real permanece dissimulado por trás de múltiplos saltos de sistemas igualmente comprometidos, frequentemente espalhados por várias jurisdições com regimes legais distintos.
O resultado prático: os endereços IP que aparecem nos logs do alvo pertencem a vítimas, não ao adversário. Bloqueá-los travará o ataque imediato, mas não tira o C&C do mapa.
Implicações para equipas defensivas
- Atribuição é difícil: raramente é possível identificar o verdadeiro atacante a partir do tráfego que se observa.
- Bloquear IPs não chega: os IPs visíveis pertencem a vítimas, não ao adversário real — desligar a botnet exige cooperação internacional e takedown da infraestrutura C&C.
- Threat intelligence é essencial: identificar a infraestrutura C&C requer colaboração entre CSIRT, ISP e investigadores de segurança.
- Higiene digital reduz a superfície: cada dispositivo bem protegido é um bot a menos disponível para o adversário — atualizações, segmentação de rede e monitorização de IoT contam.
Como mitigar
A mitigação eficaz contra DDoS combina várias camadas de defesa, do perímetro de rede até à camada aplicacional:
- Filtragem upstream: ao nível do ISP ou de serviços anti-DDoS especializados (scrubbing centers).
- Rate limiting: ao nível das aplicações, balanceadores e da infraestrutura de rede.
- Geo-blocking seletivo: quando o público-alvo é geograficamente restrito, restringir tráfego de regiões irrelevantes reduz a superfície.
- Anycast: distribuir o tráfego por múltiplos pontos de presença globais, absorvendo volume e evitando saturar uma única instalação.
- Monitorização contínua: SIEM com correlação, deteção de anomalias e baselining de tráfego para identificar desvios precocemente.
- Plano de resposta documentado: contactos de ISP, runbooks por tipo de ataque e exercícios regulares de tabletop.
Conclusão
A técnica de reflection e a estrutura em camadas das botnets modernas tornam os ataques DDoS um dos desafios mais exigentes em atribuição e resposta a incidentes. Compreender as três funções — C&C, bots e bot herders — é o primeiro passo para construir defesas eficazes e abordar estas ameaças com a profundidade que merecem.
Para as equipas defensivas, o objetivo não é apenas resistir ao ataque imediato, mas contribuir para o ecossistema mais amplo de inteligência: cada bot identificado e cada infraestrutura mapeada aproxima a comunidade de neutralizar o C&C que está realmente por detrás da operação.