Você sabe o que são ataques DDoS e como proteger seu ambiente?
O que é Ataque DDoS?
O Ataque de DDoS – Distributed Denial of Service é um ataque que vem de diversos atacantes para esgotar os recursos disponíveis para uma rede, aplicação ou serviço para que os usuários válidos não consigam ter mais acesso, ou seja, esgotar o alvo do ataque deixando-o fora de serviço.
Tipos de ataques DDoS:
Ataques Baseados em Volume
Inclui UDP floods, ICMP floods e outros spoofed-packet floods. O objetivo do ataque é saturar a largura de banda do site atacado e a magnitude é medida em bits por segundo (Bps).
Ataques de protocolo
Inclui SYN floods, ataques de pacotes fragmentados, Ping of Death, Smurf DDoS e muito mais. Esse tipo de ataque consome recursos reais do servidor ou de equipamentos de comunicação intermediários, como firewalls e balanceadores de carga, e é medido em pacotes por segundo (Pps).
Ataques da camada de aplicação
Inclui ataques baixos e lentos, GET / POST floods, ataques direcionados às vulnerabilidades do Apache, Windows ou OpenBSD e muito mais. Composto por solicitações aparentemente inocentes e legítimas, o objetivo desses ataques é travar o servidor da Web e a magnitude é medida em solicitações por segundo (Rps).
Como se proteger de um ataque de DDoS?
Como é um ataque para esgotar os recursos, precisamos pensar por onde esse tráfego deverá passar, como por exemplo, link de internet, roteadores, firewall, IPS, balanceadores, etc, e quais os recursos que poderão ser afetados primeiro.
Segue a lista de verificações no seu ambiente:
Largura de banda
Sua internet é suficiente para aguentar por um tempo um ataque DDoS? Caso sua internet não seja suficiente, o primeiro a ser degradado será o link de internet.
Identificação de um ataque
Identifique a anomalia no seu ambiente, com isso, conhecendo seu tráfego normal é possível se proteger melhor e verificar que está sofrendo um ataque.
IPS – Intrusion Prevention System
As explorações de vulnerabilidade geralmente ocorrem sob a forma de entradas maliciosas para um aplicativo ou serviço de destino que os atacantes usam para interromper e obter o controle de uma aplicação ou máquina.
Após uma exploração bem-sucedida, o invasor pode desativar o aplicativo de destino (resultando em um estado de negação de serviço ou DoS) ou pode potencialmente acessar todos os direitos e permissões disponíveis para o aplicativo comprometido.
Os firewalls e o IPS se concentram em examinar e impedir a intrusão de uma entidade por vez, mas não foram projetados para detectar o comportamento combinado de pacotes legítimos enviados milhões de vezes.
Capacidade de recursos
Como está a capacidade dos seus dispositivos de rede? Os dispositivos de rede (interfaces de rede, Firewall, IPS e servidores) precisam ser suficientes para que elas não sejam esgotadas antes de um sistema anti-DDoS seja ativado.
Rate limit
Uma política baseada em regras limita o tráfego proveniente de fontes específicas e usando serviços específicos. Você pode criar essa regra para limitar a quantidade de acesso para que um determinado destino só faça x requisições no seu ambiente.
DNS Server
DNS é o serviço de resolução de nomes, este serviço é essencial na sua rede, sem ele tudo que fosse acessar deveria ser por IP ao invés de um nome. Ele é responsável por resolver nomes para acesso à internet, acesso ao domínio, aplicações internas, etc. É importante que seus servidores DNS tenham redundância e colocá-los em diferentes datacenters atrás de balanceadores de carga. Uma solução melhor, pode até ser mudar para um provedor de DNS baseado em nuvem que possa oferecer alta largura de banda e vários pontos de presença em data centers em todo o mundo.
Proteção de DDoS
Proteção de DDoS pode ser feita por appliances on-premisse, cloud-based ou hibrida, eles basicamente servem para detectar e mitigar o ataque e entregar o tráfego limpo para sua rede / aplicação.
Artigo técnico escrito pelo nosso diretor de Cybersecurity, Anderson Madruli.
