Saiba o que fazer contra ataques DDoS - ISPBLOG
Enviado em 07.06.2017

Saiba o que fazer contra ataques DDoS

Mais cedo ou mais tarde, todo provedor se depara com o sentimento de incapacidade ao lidar com um ataque DDoS. Quem já passou por isso, sabe o quanto é desesperador estar com tudo parado e a única opção que resta é torcer para que o ataque acabe logo.

Mais cedo ou mais tarde, todo provedor se depara com o sentimento de incapacidade ao lidar com um ataque DDoS. Quem já passou por isso, sabe o quanto é desesperador estar com tudo parado e a única opção que resta é torcer para que o ataque acabe logo.

O pior de tudo é saber que, se você ainda não passou por isso, pode ter certeza que irá passar e para quem já conhece o gosto amargo de receber um ataque, se prepare, porque é apenas uma questão de tempo para ocorrer novamente.

O Brasil já lidera o 3º lugar no ranking dos alvos preferidos dos ataques, perdendo apenas para os Estados Unidos e China e a tendência são as coisas piorarem.

Mas surge a pergunta: é possível se livrar completamente de um ataque DDoS sem qualquer impacto aos clientes?

Essa resposta é relativa, tudo depende da intensidade do ataque.

Você pode tomar inúmeras medidas aplicando as mais diversas boas práticas e receber um próximo ataque muito pior do que a soma de todos os anteriores.

Mas o fato é que, por pior que seja o ataque, quanto mais preparado, melhor você irá responder a situação e raramente pequenos e médios provedores serão os alvos dos ataques mais bem elaborados que visam derrubar serviços conhecidos para serem anunciados na mídia, o que significa que isso aumenta nosso sucesso ao tratar de ataques de menor escala.

Antes de mencionar algumas boas práticas, é importante analisar um pouco mais nosso inimigo.

O que é um ataque DDoS?

 Distributed Denial of Service (DDoS), Ataque Distribuído de Negação de Serviço é um ataque organizado, que envolve vários equipamentos conectados à rede combinados e direcionados a um mesmo objetivo, tirar um serviço fora do ar.

Esse tipo de ataque não visa invadir ou coletar informações, simplesmente derrubar um serviço que pode ser no caso dos provedores, o roteador de borda, impedindo ou prejudicando o acesso dos clientes.

 O que chama a atenção nos ataques DDoS e que de certa forma, se torna uma situação intrigante, é que na sua grande maioria, os clientes não são prejudicados devido uma sobrecarga no link, consumindo toda banda disponível, pelo contrário, muitas vezes menos de 10% da capacidade de um link é o suficiente para derrubar toda uma rede. Como assim?

 O ponto fraco não é a capacidade de tráfego e sim a capacidade de comutação ou processamento.

Depois de escolhido um alvo, um ataque coordenado, vindo de diversos equipamentos infectados, enviam inúmeras requisições para um tipo de serviço, DNS, NTP ou mesmo um simples pacote de aceite de conexão, TCP Syn.

Esses pacotes são pequenos e não consomem uma grande largura de banda, mas dependendo da quantidade de equipamentos que participam do ataque, a quantidade de pequenos pacotes enviados é avassaladora.

Se o roteador de borda for o alvo, ele não consegue processar tantas requisições e o processamento vai as alturas e se o alvo for depois dele, a capacidade de encaminhamento (pacotes por segundo – pps) também satura e o serviço fica degradado, podendo até mesmo parar de responder.

 Isso nos mostra que, com certeza, investir em roteadores de borda cada vez mais robustos, nos capacita para lidar melhor com a situação, mas isso por si só, pode não ser o suficiente, por isso o melhor a fazer é dividir ou repassar essa contenção do ataque com a operadora e isso é possível fazendo o uso das configurações de “Communities” do BGP.

 Uma Community é um atributo do BGP utilizado para marcar um ou mais prefixos, permitindo que o roteador que fecha a sessão BGP na outra ponta, entenda que para aquele prefixo você deseja que seja aplicado uma política de roteamento diferenciada.

 Cada política recebe uma identificação diferente, (o que é chamado de community no BGP). Esta deve ser combinada ou conhecida previamente.

 Na sua grande maioria, as grandes operadoras publicam suas políticas de roteamento e as respectivas communities relacionada a elas, para que seus clientes possam utilizá-las. Veja por exemplo a tabela abaixo:

Nas configurações do BGP, as communities são expressas da seguinte forma:  <ASN>:<VALOR>

Como conter os ataques

 Muitas vezes não podemos resolver um problema por completo, mas podemos torná-lo um problema menor, diminuindo o impacto nos nossos clientes.

A imensa maioria dos ataques tem origem internacional. Vamos considerar que o provedor esteja anunciando um /22 para a operadora, quando se inicia um ataque DDoS para um dos IPs desse prefixo.

Todos os clientes do provedor estão sendo afetados, até mesmo de outros prefixos, pois é o roteador de borda que está sendo afetado.

É possível diminuir o impacto do ataque, quebrando esse /22 em 4 anúncios /24 (menor prefixo aceito para um anúncio público) e no caso do /24 que se encontra o IP destino do alvo, é possível notificar a operadora que esse prefixo /24 não deve ser anunciado para peerings (vizinhos) internacionais.

A origem do ataque, não terá mais rota para o IP de destino e o ataque irá cessar, mantendo todos os clientes navegando. É verdade que isso não resolve o problema por completo. Agora temos clientes de um /24 que estamos reclamando que não abrem sites internacionais. Ainda assim, tornamos um problema gigante muito menor.

 Uma outra ação para tornar o problema menor ainda, é mascarar essa /24 (NAT) enquanto o anúncio internacional está limitado pela community.

Community de blackhole.

 Uma outra opção para tornar o problema ainda menor é utilizar a community de blackhole. A política dessa community é na sua grande maioria, receber um anúncio /32 e descartar todo tráfego destinado a esse host, não permitindo que o ataque seja encaminhado para sua rede.

Nesse caso, não é preciso nem dividir o prefixo /22 do exemplo anterior. Simplesmente anunciar para operadora um anúncio /32 notificando que para aquele único IP o tráfego deve ser bloqueado. Simples, fácil e funcional.

 Para garantir o bom funcionamento dessas práticas, não deixe para última hora. Durante um ataque em plena atividade, tudo fica mais difícil. Solicite para sua(s) operadora(s), as políticas de roteamento com suas respectivas communities, deixe as configurações prontas e faça testes.

 Os ataques estão se intensificando e a correria do dia a dia nos impede de realizar muitas coisas de que gostaríamos, mas reservar tempo e se dedicar em aplicar soluções como estas podem nos livrar de uma grande dor de cabeça.

Rodrigo Martins Fernandes
Diretor de Redes da Visãonet Telecom
Especialista em Redes
Certificações Cisco, Furukawa, MikroTik, Ubiquiti

Comentários