Olá, Provedor Regional ou Administrador de uma ASN,
Hoje iremos abordar um tema que pode ser uma dor de cabeça para alguns provedores, que são os ataques do tipo DDoS (Ataque de Negação de Serviço, em português). Hoje, essa é uma infeliz realidade aos ISPs e Data Centers do Mundo, uma vez que estes ataques ilegais podem durar por tempo indeterminado.
Antes de falarmos sobre a prevenção de ataque DDoS vamos destrinchar um pouco do que ele é e seu propósito, que é esgotar os recursos de hardware de dispositivos como servidores, roteadores com objetivo de indisponibilizar serviços de rede como websites, ERP e redes fora de serviço. O ataque DDoS é uma forma de cibercrime que envia um fluxo contínuo de tráfego falso para serviços online, ou seja, direciona um ataque a um serviço de rede que nem sempre está ativo. Este tipo de ataque não pode ser resolvido com Firewall e já foi capaz de congelar vários Provedores, Operadoras e Data Centers no mundo.
Este ataque consiste no envio de várias requisições oriundas de dispositivos infectados a um determinado host. Por exemplo, a um roteador da sua borda a um cliente específico, sendo ineficiente qualquer tipo de QoS ou qualquer filtro de Firewall. Isso se dá uma vez que inúmeras requisições chegarão até o dispositivo na sua rede, sobrecarregando seus links, backbones e processamento dos dispositivos até onde se destina o ataque em questão, mesmo que um serviço de rede não esteha ativo na determinada porta da camada de Transporte TCP ou UDP.
Neste momento não irá adiantar o quanto investiu na borda, Core, backbone e servidores na sua rede. Caso o Provedor não tenha tomado os cuidados necessários nessa hora sua rede irá parar e, como consequência, terá perdas financeiras e também ficará com a imagem da sua empresa descreditada.
É possível prevenir-se e combater este tipo de ataque? Sim.
Agora que você está ciente do que é um Ataque DDoS vamos abordar como evitá-lo e remediá-los. Em primeiro lugar, é preciso implementar um Software capaz de detectar o ataque baseado no perfil do tráfego (que tenha características específicas e possa manipular os roteamentos de rede) para aplicar, por exemplo, uma BlackHole. A automatização é necessária uma vez que, quando tais processos dependem da ação humana, muitas vezes o ataque se propaga pela rede e, por consequência, perde-se os acessos aos equipamentos e a rede, sem contar que o processo manual seria ineficiente dado a rapidez com que o ataque se propaga.
A forma de combate mais utilizada para combater o ataque DDoS é baseada no “NetFlow” (tecnologia que tem como função coletar características e informações sobre o tráfego nas redes de IP, tanto na saída quanto na entrada de uma interface), implementado no roteador de borda que presta informações detalhadas do perfil de tráfego ao Software utilizado para detecção do ataque.
NetFlow e TraficFlow são protocolos de rede que coletam informações de tráfego de redes TCP/IP, de tal forma que, ao encaminhar as informações para o então servidor para detecção, eles irão analisar o perfil da rede e, ao ser detectado um possível ataque, estas defesas manipulam diretamente o roteamento através do BGP, podendo então inserir a Community de BlackHole ou encaminhar o tráfego para uma mitigação – mas este já é assunto para uma próxima postagem!
Algumas plataforma para Detecção de Ataques;
- Fastnetmon (OpenSource)
- ExaBGP (OpenSource)
- Wanguard
No vídeo que deixamos disponível você poderá ver com maior riqueza de detalhes como uma estrutura de anti-DDoS opera.
Espero ter ajudado, e até a próxima.
