Uma das maiores preocupações das operadoras atualmente é o crescente número e o nível de complexidade dos ataques DDoS. Aqui, no blog da Telic Technologies, temos um artigo completo sobre Mitigação de ataques DDos no qual buscamos esclarecer como esses ataques acontecem e quais são as possíveis soluções para que seu serviço não seja interrompido e sua infraestrutura de rede esteja sob constante vigilância e proteção.
Neste artigo vamos falar sobre o flowspec para mitigação de ataques DDoS e por que ele é a forma mais inteligente de controlar o tráfego que se quer bloquear, pois facilita o seu redirecionamento para pontos de limpeza de tráfego.
O que é flowspec?
Em tradução livre, a palavra flowspec significa “especificação de fluxo”, que resume muito bem o que ele faz. Em outras palavras, para ficar mais claro, o flowspec dita as regras de fluxo nos roteadores, que determinam qual ação deve ser tomada em uma porta, protocolo, flag, etc mediante atividades suspeitas de tráfego.
Colocando de modo mais simples, o recurso flowspec implementa e propaga regras para filtrar pacotes entre roteadores BGP (Border Gateway Protocol) e determina que ações serão aplicadas nesses fluxos, por exemplo: Se serão descartados, se deixa o pacote passar, se redireciona para um sistema de tratamento ou se muda a marcação do pacote.
Métodos tradicionais de mitigação X Flowspec
Em alguns métodos tradicionais de mitigação DDoS, baseados nos endereços de origem e destino, como o blackhole, todo o tráfego é roteado para uma rota nula (um buraco negro, como o nome diz), sendo descartado da rede antes que ele entre na rede, sem informar à fonte que os dados não chegaram ao seu destino. Porém, o problema desse tipo de método é que, embora o ataque seja mitigado, nenhum usuário conseguirá acesso à rede, nem mesmo os usuários legítimos. Assim, de certa forma, o hacker conseguirá atingir seu objetivo de inutilizar ou desestabilizar o serviço, mesmo que temporariamente. Por essa razão, a mitigação de ataques DDoS feita dessa maneira não é muito interessante para os provedores e operadores, já que traz alguns prejuízos.
Nesse contexto, o flowspec é uma alternativa que permite implantar e propagar rapidamente a filtragem de tráfego em um grande número de roteadores BGP de acordo com suas próprias instruções para atenuar os efeitos de um ataque DDoS. Nesse sentido, as instruções são para filtrar um fluxo específico com origem, destino, parâmetros da camada 4 (transporte) e dados do pacote. A partir disso, o flowspec permite a instalação de ações nos roteadores BGP para:
- Descarte de tráfego conforme as instruções;
- Redirecionamento de tráfego para um VRF para análise;
- Policiamento de tráfego a uma taxa específica.
Por que o flowspec é melhor?
O Flowspec é uma forma mais inteligente de controlar o tráfego que se quer bloquear, já que facilita o redirecionamento de tráfego para pontos de limpeza sem inutilizar o serviço. Em outras palavras, ele filtra os pacotes que podem ser maliciosos do fluxo de tráfego ao mesmo tempo em que retém os pacotes legítimos e envia de volta o tráfego limpo para o servidor, não havendo interrupção do serviço, conforme ilustrado na imagem a seguir.
Além disso, algumas das características que tornam o flowspec melhor são:
- A mesma granularidade das ACLs;
- Mesma automação do RTBH (blackhole acionado remotamente);
- Facilidade em propagar filtros para todos os BGPs em redes grandes;
- Aproveita as práticas recomendadas e os controles de política BGP;
- A mesma filtragem e as melhores práticas utilizadas para RTBH podem ser aplicadas a roteadores BGP.
Soluções Telic Technologies para mitigação DDoS
Nosso serviço de inteligência em infraestrutura de redes utiliza o flowspec permitindo a continuidade da operação da sua rede mesmo durante um ataque DDoS. Isso evita inúmeros prejuízos e consequências de um ataque bem-sucedido. Fale com nossos especialistas e garanta a segurança da sua rede.