Botnets na rede do assinante: quando o DDoS vem de dentro
A defesa anti-DDoS em ISPs foi desenhada, historicamente, para ataques que vêm de fora: tráfego de origem externa que satura um enlace, sobrecarrega um servidor ou esgota as sessões de um firewall. O modelo mental é o de uma muralha: protegemos o interior do exterior.
Mas há uma classe de ataques que esse modelo não cobre bem: os que se originam dentro da própria rede do ISP, a partir dos dispositivos dos assinantes.
As botnets modernas recrutam dispositivos domésticos — set-top boxes Android, roteadores residenciais, câmeras IP, smart TVs — que, uma vez comprometidos, atuam como agentes de ataque de dentro da rede. Para um ISP, o problema não é só os clientes participarem involuntariamente de ataques a terceiros: é que esse tráfego malicioso pode saturar trechos da rede interna, degradar a experiência de outros assinantes e gerar custos operacionais significativos.
Como um dispositivo do assinante vira bot
O vetor de infecção mais comum em dispositivos domésticos não é um exploit sofisticado. São dois mecanismos simples e massivos:
1. Credenciais padrão nunca alteradas
A maioria dos roteadores domésticos e dispositivos IoT sai de fábrica com credenciais de administração padrão (admin/admin, admin/1234 ou variantes). Se o dispositivo tem a interface de administração exposta à internet — o que ocor quando o ISP não filtra portas de administração na rede de acesso — qualquer scanner automatizado pode comprometer o equipamento em minutos.
2. Portas de debug ou gestão expostas
Muitos set-top boxes Android e dispositivos de baixo custo vêm com Android Debug Bridge (ADB) habilitado na porta TCP 5555. O ADB foi feito para desenvolvimento e debug, não para produção. Um dispositivo com ADB exposto permite que um atacante remoto execute comandos arbitrários sem autenticação. Isso basta para instalar agentes de botnet, alterar configurações ou estabelecer túneis de tráfego pelo dispositivo.
3. SDKs de proxy residencial embutidos
Uma categoria menos conhecida, mas em crescimento: alguns dispositivos de baixo custo (especialmente no segmento de IPTV e streaming) incluem SDKs de terceiros que monetizam o equipamento transformando a conexão à internet em proxy residencial vendido a clientes do mercado de proxies. O usuário do dispositivo não sabe que a conexão está sendo vendida. O fabricante recebe pagamento por incluir o SDK.
Do ponto de vista do ISP, o tráfego gerado por esses SDKs é indistinguível do tráfego legítimo em inspeção superficial, o que dificulta a detecção com regras estáticas.
O impacto na rede do ISP
Quando uma fração dos assinantes tem dispositivos comprometidos atuando como bots, os efeitos na rede são concretos:
Congestão na rede de acesso: O tráfego de ataque é gerado de forma distribuída em todos os segmentos onde há assinantes infectados. Em redes PON e DOCSIS, isso pode gerar congestão assimétrica no uplink (os ataques são majoritariamente outbound), degradando a experiência de todos os assinantes do mesmo segmento, não só dos infectados.
Aumento inesperado de tráfego inter-AS: Se os bots são usados para proxying ou ataques volumétricos, o ISP verá incremento sustentado no tráfego de saída, com impacto nos custos de trânsito e nos acordos de peering.
Chamados de suporte difíceis de resolver: Um assinante com roteador comprometido pode ter lentidão, quedas esporádicas e comportamentos estranhos sem causa óbvia na camada física. O técnico de suporte que não olha o tráfego do dispositivo não consegue diagnosticar corretamente.
Reputação de IP: Os blocos IPv4 do ISP podem acabar em blocklists (SpamRaus, Spamhaus, SORBS) se dispositivos comprometidos participam de campanhas de spam ou varredura em massa. Isso afeta todos os clientes do ISP, inclusive os sem dispositivos infectados.
Responsabilidade legal: Em países em que a regulação exige que o ISP adote medidas para evitar o uso da rede em ataques (o Brasil tem normas específicas da ANATEL, a Argentina tem resoluções da ENACOM), a inação diante de botnets conhecidas pode ter consequências regulatórias.
Detecção: o que buscar na sua rede
A detecção de atividade de botnet na rede de assinantes não exige DPI (Deep Packet Inspection) completo. Há sinais mais simples e de menor custo que já indicam o problema:
NetFlow / sFlow anômalos: Um assinante residencial normal não gera milhares de fluxos distintos por minuto para IPs externas aleatórias. Análise de NetFlow com limiares de número de destinos únicos por assinante é uma forma de detectar varredura em massa ou DDoS distribuído.
Portas conhecidas de botnet/C2: As botnets IoT mais comuns usam portas específicas para comunicação com o servidor de comando e controle (C2). Filtros no perímetro que detectam tráfego para destinos C2 conhecidos (usando feeds de threat intelligence como Emerging Threats, Spamhaus ou fontes comerciais) podem identificar dispositivos infectados.
ADB exposto: Varredura periódica da rede de assinantes buscando a porta TCP 5555 aberta identifica dispositivos com ADB habilitado. É indicador de alto risco mesmo que o equipamento ainda não esteja comprometido.
Volume de tráfego assimétrico: Razões de upload/download muito fora do normal para um assinante (ex.: cliente residencial que sobe 10x o que baixa por horas) são sinal de atividade de botnet ou proxying.
Anomalias em DNS: Bots frequentemente fazem consultas DNS a domínios gerados algoritmicamente (DGA — Domain Generation Algorithms) com padrões reconhecíveis. Um resolver com log de consultas pode identificar esses padrões.
Mitigação: o que o ISP pode fazer
O ISP tem ferramentas que o assinante não tem para mitigar esse problema:
Bloquear portas de administração na rede de acesso
A porta TCP 5555 (ADB), 23 (Telnet), 2323 (Telnet alternativo) e 7547 (TR-069/CWMP exposto sem autenticação) não deveriam ser acessíveis da internet para dispositivos dos assinantes. Uma ACL na borda da rede de acesso que filtre tráfego de entrada para essas portas reduz drasticamente a superfície de ataque.
! Ejemplo: bloquear tráfico entrante a puertos de administración de dispositivos CPE
! (aplicar en interfaz hacia internet/uplink, sentido entrante)
ip access-list extended BLOQUEO-PUERTOS-ADMIN-CPE
deny tcp any any eq 23
deny tcp any any eq 2323
deny tcp any any eq 5555
deny tcp any any eq 7547
permit ip any any
Notificação ativa a assinantes comprometidos
Quando se detecta atividade de botnet a partir de um assinante, notificá-lo de forma proativa tem dois efeitos: ajuda o cliente a resolver o problema (reduz chamados de suporte) e demonstra política ativa de segurança que protege o ISP juridicamente.
Os mecanismos vão de e-mail a portal cativo que exibe o aviso quando o assinante tenta navegar (técnica usada por ISPs na Europa e nos Estados Unidos).
Sinkholing de C2 conhecidos
Um resolvedor DNS interno que redireciona domínios de C2 conhecidos (usando feeds de threat intelligence atualizados) para um IP controlado pelo ISP interrompe a comunicação entre bots e atacante. Os dispositivos infectados ficam isolados do C2 sem necessidade de contatar o assinante.
Rate limiting de varredura e flood
No BRAS ou equipamento de agregação, implementar rate limiting no uplink por assinante para tráfego que coincida com padrões de flood (alta taxa de SYN, ICMP flood, UDP flood para múltiplos destinos) limita o impacto que um assinante comprometido pode ter sobre o restante da rede.
Uso de feeds de threat intelligence
A comunidade de segurança publica listas atualizadas de IPs, domínios e ranges associados a infraestrutura de botnets. CAIDA, Shadowserver, Team Cymru e Spamhaus são fontes de alta qualidade e baixo custo. Integrar esses feeds ao sistema de filtragem do ISP é uma das medidas com melhor relação esforço/resultado.
O papel do ISP como ator de cibersegurança na América Latina
A narrativa de cibersegurança na América Latina costuma centrar o usuário final como vítima ou como desinformado. Mas os ISPs têm papel de infraestrutura que os coloca em posição única: conseguem ver e controlar o tráfego na rede de um modo que nenhum antivírus ou firewall doméstico iguala.
Não se trata de vigilância nem de inspeção de conteúdo. Trata-se de mitigar, na camada de rede, comportamentos claramente maliciosos que afetam terceiros e degradam a própria rede do ISP.
ISPs que adotam postura ativa frente a botnets de assinantes não só protegem a rede — também constroem diferencial competitivo e cumprem obrigações regulatórias de forma mais robusta.
Quer revisar a exposição da sua rede a botnets de assinantes?
Na Ayuda.LA fazemos análise de exposição e ajudamos a implementar controles na camada de acesso e no core. Sem venda de hardware, sem conflito de interesse.
Saiba mais sobre nossos serviços de cibersegurança para ISPs.
Tem dúvidas sobre detecção de botnets ou segurança em redes de acesso? Escreva para [email protected] — respondemos todas as mensagens.