%20(1).png)
Mitigação de ataques DDOS
- Hemily Alves
- 12 de set. de 2024
- 6 min de leitura
A Mitigação de Ataques de DDoS, ou Mitigação de DDoS, refere-se ao processo de proteger o alvo de ataques de negação de serviço distribuído (DDoS), que usualmente são realizados e causam as vítimas perdas econômicas enormes. Para mitigar os ataques de DDoS, especialmente quando estes ocorrem em grande volume, é preciso contar com uma inteligência e infraestrutura de segurança robusta. O Monitoramento Contínuo é essencial para que a Equipe de Resposta a Incidentes possa reagir rapidamente frente a qualquer ataque de DDoS. Quando se conta com uma infraestrutura de monitoramento, ganha-se muito em inteligência de segurança e resposta a incidentes. Ao Monitoramento Contínuo, deve-se aliar firewalls bem gerenciados, soluções endpoint e IPS. É o conjunto da infraestrutura de segurança que permitirá a mitigação real dessas ameaças.
O Que são Ataques de DDOS:
Os ataques de rede distribuídos muitas vezes são chamados de ataques de negação de serviço distribuído (DDoS). Esse tipo de ataque aproveita os limites de capacidade específicos que se aplicam a todos os recursos de rede, como a infraestrutura que viabiliza o site de uma empresa. O ataque DDoS envia múltiplas solicitações para o recurso Web invadido com o objetivo de exceder a capacidade que o site tem de lidar com diversas solicitações, impedindo seu funcionamento correto.
Entre os alvos comuns de ataques DDoS estão:
Sites de compras virtuais
Cassinos on-line
Qualquer empresa ou organização que dependa do fornecimento de serviços on-line
Como Funciona um ataque de DDOS:
Os recursos de rede, como servidores Web, conseguem atender a um limite finito de solicitações simultaneamente. Além do limite de capacidade do servidor, o canal que conecta o servidor à Internet também tem largura de banda/capacidade finita. Sempre que o número de solicitações excede os limites de capacidade de qualquer componente da infraestrutura, o nível do serviço tende a sofrer de uma das seguintes maneiras:
A resposta às solicitações é muito mais lenta do que o normal.
Algumas ou todas as solicitações dos usuários podem ser totalmente ignoradas.
Construindo uma botnet Para lançar um ataque de DDoS, os invasores usam malware para criar uma rede de bots: dispositivos conectados à Internet que estão infectados com malware, que os invasores podem direcionar para enviar uma inundação de tráfego aos alvos. Esta rede de bots, ou botnet, pode incluir terminais como Internet das Coisas (dispositivos IoT), smartphones e computadores pessoais, bem como roteadores e servidores de rede. Cada dispositivo infectado torna-se capaz de espalhar o malware para outros dispositivos para aumentar o tamanho de um ataque.
Para usar uma referência de cultura popular aqui, pense em como o Night King da série Game of Thrones da HBO criou um exército de White Walkers. O Night King criou um conjunto inicial de White Walkers. Esses White Walkers atacaram os humanos para transformá-los em novos White Walkers e, assim, o exército continuou crescendo. E cada membro deste exército era controlado pelo Night King.
Lançando um ataque Depois que um invasor cria uma botnet, ele envia instruções remotas aos bots, direcionando-os para enviar solicitações e tráfego para um servidor, website, aplicação da Web, API ou recurso de rede direcionado. Isso cria uma quantidade enorme de tráfego que leva à negação de serviço, impedindo que o tráfego normal acesse o alvo.
DDoS como serviço Às vezes, os botnets, com suas redes de dispositivos comprometidos, são alugados para iniciar outros possíveis ataques por meio de serviços de "ataque por aluguel". Isso permite que as pessoas com más intenções, mas sem treinamento ou experiência, iniciem ataques de DDoS facilmente por conta própria.
Como Identificar um ataque de DDOs:
O sintoma mais óbvio de um ataque de DDoS é que um site ou serviço se torna repentinamente lento ou indisponível. Mas, como existem vários eventos que podem criar problemas de desempenho semelhantes como um pico de tráfego legítimo, por exemplo, geralmente é necessária uma investigação adicional. As ferramentas de análise de dados de tráfego podem ajudá-lo a detectar alguns desses sinais reveladores de um ataque de DDoS:
Uma quantidade suspeita de tráfego originária de um único endereço de IP ou de uma faixa de endereços IP
Uma enxurrada de tráfego de usuários com o mesmo perfil de comportamento, como tipo de dispositivo, geolocalização ou versão de navegador web
Um aumento inexplicado de solicitações de uma mesma página ou ponto de terminação
Padrões de tráfego incomuns, como picos em horários inusitados ou padrões que parecem artificiais (por ex., um pico a cada 10 minutos)
Existem outros sinais de um ataque de DDoS mais específicos, que podem variar conforme o tipo de ataque.
Objetivos de um ataque de DDOS:
O objetivo dos ataques de DDoS é retardar drasticamente ou impedir que o tráfego legítimo chegue ao destino pretendido. Por exemplo, isso pode significar impedir que um usuário acesse um website, compre um produto ou serviço, assista a um vídeo ou interaja nas redes sociais. Além disso, ao tornar os recursos indisponíveis ou diminuir o desempenho, o DDoS pode paralisar uma empresa. Isso pode impedir que funcionários acessem e-mails, aplicações da Web ou conduzam os negócios normalmente.
Os ataques de DDoS podem ser lançados por vários motivos.
Hacktivismo. Os invasores podem direcionar um ataque de DDoS contra empresas ou websites com os quais têm divergências filosóficas ou ideológicas.
Guerra cibernética. Os governos podem usar ameaças virtuais como DDoS para prejudicar a infraestrutura crítica de um estado inimigo.
Extorsão. Os invasores geralmente usam ameaças DDoS para extorquir dinheiro de empresas.
Entretenimento. Muitos ataques são lançados por hackers que simplesmente buscam se divertir com o caos ou a experimentação do crime cibernético.
Competições empresariais. Uma empresa pode lançar um ataque de DDoS em outra empresa para obter uma vantagem competitiva.
Processo para mitigar um ataque de DDos:
A principal preocupação na mitigação de um ataque de DDoS é a distinção entre o tráfego do ataque e o tráfego normal.
Por exemplo, se o lançamento de um produto fizer com que o site da empresa seja inundado por clientes ansiosos, cortar todo esse tráfego será um erro. Mas se, de repente, uma empresa sofre um aumento de tráfego proveniente de invasores conhecidos, provavelmente será necessário um esforço no sentido de aliviar o ataque.
A dificuldade está em distinguir os clientes reais do tráfego de ataque.
Na internet moderna, o tráfego de DDoS pode se apresentar de diversas formas, desde ataques de origem única e não falsificada até ataques de DDoS multivetor complexos e adaptáveis.
O ataque de DDoS multivetor usa várias vias de ataque para sobrecarregar o alvo de diversas formas, potencialmente desviando os esforços de mitigação para outra trajetória.
Um ataque direcionado a diversas camadas da pilha de protocolos simultaneamente, como uma amplificação de DNS (direcionado às camadas 3 e 4) combinado com uma inundação de HTTP (direcionada à camada 7) é um exemplo de DDoS multivetor.
A mitigação de um ataque de DDoS multivetor exige diversas estratégias para combater trajetórias diferentes.
De modo geral, quanto mais complexo o ataque, mais difícil provavelmente será separar o tráfego de ataque do tráfego normal: o objetivo do invasor é se misturar ao máximo para tornar os esforços de mitigação o mais ineficientes possível.
Tentativas de mitigação que envolvem a redução ou a limitação do tráfego de forma indiscriminada podem eliminar tráfego legítimo junto com o ilegítimo, e o ataque também pode se modificar e se adaptar para contornar as medidas de defesa. Quando se trata de superar uma tentativa complexa de interrupção, uma solução em camadas proporcionará o melhor benefício.
Roteamento para um black hole
Uma solução disponível para praticamente todos os administradores de rede é criar uma rota tipo black hole e direcionar o tráfego para ela. Na sua forma mais simples, quando uma filtragem tipo black hole é implementada sem critérios de restrição específicos, tanto o tráfego de rede legítimo quanto o malicioso são roteados para uma rota nula, ou black hole, e retirados da rede.
Se um ativo da internet estiver enfrentando um ataque de DDoS, o ISP (provedor de serviços de internet) do ativo poderá enviar todo o tráfego do site para um black hole como uma forma de defesa. Não se trata de uma solução ideal, já que, efetivamente, confere ao invasor o objetivo desejado: tornar a rede inacessível.
Rate Limiting
A limitação do número de solicitações que um servidor aceitará por um período de tempo é outra forma de mitigar os ataques de negação de serviço.
Embora o Rate Limiting seja útil para reduzir a velocidade com que os "raspadores" da web roubam conteúdo e para mitigar as tentativas de login por força bruta, provavelmente seu uso será insuficiente para lidar de forma eficaz com um ataque de DDoS complexo.
No entanto, o Rate Limiting é um componente útil de uma estratégia eficaz de mitigação de DDoS.
Firewall de aplicativos web
O Firewall de Aplicativos Web (WAF) é uma ferramenta capaz de ajudar a mitigar o ataque de DDoS na camada 7. Ao ser posicionado entre a internet e o servidor de origem, um WAF poderá atuar como um proxy reverso e proteger o servidor alvo de determinados tipos de tráfego malicioso.
Ao filtrar as solicitações de acordo com uma série de regras usadas para identificar ferramentas de DDoS, os ataques na camada 7 podem ser impedidos. Um dos fatores de eficácia mais importantes de um WAF é sua capacidade de implementar rapidamente regras personalizadas em resposta a um ataque.
Difusão de rede anycast
Essa abordagem de mitigação usa uma rede anycast para dispersar o tráfego do ataque por uma rede de servidores distribuídos até o ponto no qual o tráfego é absorvido pela rede.
Como canalizar um rio e dividi-lo em canais menores, essa abordagem espalha o impacto do tráfego do ataque distribuído até que ele se torne gerenciável, dissipando qualquer possibilidade de interrupção.
A confiabilidade de uma rede Anycast para mitigar um ataque de DDoS depende do tamanho do ataque e do tamanho e da eficiência da rede.
Comments