Você sabe o que são ataques DDoS e como proteger seu ambiente?

O que é Ataque DDoS?

O Ataque de DDoS – Distributed Denial of Service é um ataque que vem de diversos atacantes para esgotar os recursos disponíveis para uma rede, aplicação ou serviço para que os usuários válidos não consigam ter mais acesso, ou seja, esgotar o alvo do ataque deixando-o fora de serviço.

Tipos de ataques DDoS:

Ataques Baseados em Volume

Inclui UDP floodsICMP floods e outros spoofed-packet floods. O objetivo do ataque é saturar a largura de banda do site atacado e a magnitude é medida em bits por segundo (Bps).

Ataques de protocolo

Inclui SYN floods, ataques de pacotes fragmentados, Ping of DeathSmurf DDoS e muito mais. Esse tipo de ataque consome recursos reais do servidor ou de equipamentos de comunicação intermediários, como firewalls e balanceadores de carga, e é medido em pacotes por segundo (Pps).

Ataques da camada de aplicação

Inclui ataques baixos e lentos, GET / POST floods, ataques direcionados às vulnerabilidades do Apache, Windows ou OpenBSD e muito mais. Composto por solicitações aparentemente inocentes e legítimas, o objetivo desses ataques é travar o servidor da Web e a magnitude é medida em solicitações por segundo (Rps).

Como se proteger de um ataque de DDoS?

Como é um ataque para esgotar os recursos, precisamos pensar por onde esse tráfego deverá passar, como por exemplo, link de internet, roteadores, firewall, IPS, balanceadores, etc, e quais os recursos que poderão ser afetados primeiro.

Segue a lista de verificações no seu ambiente:

Largura de banda

Sua internet é suficiente para aguentar por um tempo um ataque DDoS? Caso sua internet não seja suficiente, o primeiro a ser degradado será o link de internet.

Identificação de um ataque

Identifique a anomalia no seu ambiente, com isso, conhecendo seu tráfego normal é possível se proteger melhor e verificar que está sofrendo um ataque.

IPS – Intrusion Prevention System

As explorações de vulnerabilidade geralmente ocorrem sob a forma de entradas maliciosas para um aplicativo ou serviço de destino que os atacantes usam para interromper e obter o controle de uma aplicação ou máquina.

Após uma exploração bem-sucedida, o invasor pode desativar o aplicativo de destino (resultando em um estado de negação de serviço ou DoS) ou pode potencialmente acessar todos os direitos e permissões disponíveis para o aplicativo comprometido.

Os firewalls e o IPS se concentram em examinar e impedir a intrusão de uma entidade por vez, mas não foram projetados para detectar o comportamento combinado de pacotes legítimos enviados milhões de vezes.

Capacidade de recursos

Como está a capacidade dos seus dispositivos de rede? Os dispositivos de rede (interfaces de rede, Firewall, IPS e servidores) precisam ser suficientes para que elas não sejam esgotadas antes de um sistema anti-DDoS seja ativado.

Rate limit

Uma política baseada em regras limita o tráfego proveniente de fontes específicas e usando serviços específicos. Você pode criar essa regra para limitar a quantidade de acesso para que um determinado destino só faça x requisições no seu ambiente.

DNS Server

DNS é o serviço de resolução de nomes, este serviço é essencial na sua rede, sem ele tudo que fosse acessar deveria ser por IP ao invés de um nome. Ele é responsável por resolver nomes para acesso à internet, acesso ao domínio, aplicações internas, etc. É importante que seus servidores DNS tenham redundância e colocá-los em diferentes datacenters atrás de balanceadores de carga. Uma solução melhor, pode até ser mudar para um provedor de DNS baseado em nuvem que possa oferecer alta largura de banda e vários pontos de presença em data centers em todo o mundo.

Proteção de DDoS

Proteção de DDoS pode ser feita por appliances on-premissecloud-based ou hibrida, eles basicamente servem para detectar e mitigar o ataque e entregar o tráfego limpo para sua rede / aplicação.

 

Artigo técnico escrito pelo nosso diretor de Cybersecurity, Anderson Madruli.