O que é um ataque DDos?
Nos últimos anos, chama a atenção o crescente número e o grau de sofisticação de ataques do tipo DDoS (Distributed Denial of Service). Para se ter ideia, segundo a InfoSecurity Magazine, o primeiro trimestre de 2021 apresentou aumento de 31% no número de ataques DDos em relação ao mesmo período de 2020. Neste texto, vamos procurar esclarecer o que é um ataque DDos e como funciona a mitigação desses ataques para proteger a sua empresa ou a sua operação.
Primeiramente, para explicar de maneira simples, um ataque DDoS é feito por hackers que se utilizam de botnets com o objetivo sobrecarregar um servidor, um computador ou uma rede inteira a ponto de prejudicar a performance ou mesmo indisponibilizar serviços on-line, websites e aplicações web. Para isso, o alvo do ataque é inundado com tráfego malicioso fazendo com que recursos, como memória, processamento, ou banda, fiquem esgotados. Desta maneira o acesso de usuários legítimos tem sua performance afetada negativamente, podendo chegar a total indisponibilidade.
Os ataques DDoS podem acontecer em várias camadas. Iremos tratar aqui dos ataques direcionados às camadas 2 e 3, que são camadas de rede e de link de dados. Os ataques DDoS às camadas 2 e 3 têm como objetivo desestabilizar uma rede explorando alguma vulnerabilidade dos equipamentos de redes do cliente (como roteadores, link IP, firewall, ert.) de modo a causar lentidão nos serviços ou total indisponibilidade.
Para saber mais sobre as camadas OSI da Internet, clique aqui.
O que são Botnets?
O nome botnet deriva de “robot network”, que significa uma rede robô. Para explicar melhor, trata-se de um grupo de dispositivos infectados por malware (bots) conectados à internet e controlados por um operador (hacker). Esses dispositivos conectados a internet são utilizados para lançar ataques em grande escala sobrecarregando uma rede ou um link de dados, tornando o serviço indisponível (ataque DDoS).
Quais as causas de um ataque DDoS?
Um ataque DDoS pode indisponibilizar um serviço por alguns minutos, horas ou até meses. As motivações para este crime cibernético são as mais diversas, abaixo estão listados os motivos mais comuns:
- Extorsão: O hacker pede um resgate em dinheiro (sendo comum hoje em dia pedir o resgate em criptomoedas), para cessar o ataque.
- Vingança: Normalmente quando algum ex-funcionário ou um desafeto lança o ataque ou contrata um hacker que o faça para desestabilizar uma empresa.
- Concorrência desleal: Quando uma empresa quer prejudicar o serviço de outra para prospectar seus clientes e ganhar mercado.
- Como forma de protesto: Quando uma empresa ou organização governamental se envolve em um escândalo, ou algo que cause indignação e sofre o ataque como forma de retaliação.
Quais benefícios uma ferramenta de análise DDoS trás para minha rede?
Sem dúvidas, o maior benefício de se ter uma ferramenta de análise DDoS em sua rede é evitar que sua operação seja interrompida caso você seja alvo desse crime cibernético, alertando a equipe de redes por exemplo, e permitindo assim uma tomada de decisão em um possível cenário de ataque DDoS. Isso porque, os “sintomas” de um ataque não são diferentes daqueles que ocorrem diariamente em uma rede ou servidor: lentidão, baixo desempenho em download e uploads, queda de conexão com a internet, indisponibilidade da página etc. Nesse sentido, detectar um ataque DDoS pode não ser uma tarefa tão simples. Por outro lado, é fundamental que seja detectado em tempo real, pois o sucesso da proteção está diretamente ligado ao bom tempo de resposta.
Cabe ressaltar que apenas uma ferramenta de análise DDoS não é o suficiente para proteger sua rede. Por exemplo, a ferramenta de análise funciona como um alarme em uma casa: ela irá detectar o ataque do criminoso, porém não é capaz de impedi-lo. Assim, é necessário ter um profissional ou uma empresa responsável por mitigar o ataque e fazer com que seus serviços continuem operando normalmente. A ferramenta de análise serve para entender o comportamento da rede e identificar o tipo de ataque para que a empresa escolha a melhor estratégia de mitigação.
Ao contratar uma empresa que faz a mitigação, como a Telic, a internet recebe a mensagem de que seus IPs passam pela estrutura de mitigação Telic, e que, portanto, estão protegidos contra ataques DDoS.
Como dito anteriormente, os ataques DDos podem trazer enormes impactos financeiros, sejam por extorsão (pedido de resgate em criptomoedas), seja por improdutividade, afinal podem indisponibilizar suas atividades por dias ou meses. Além disso, um ataque DDoS pode causar danos à sua reputação no longo prazo. Então é mais que necessário proteger sua empresa ou operação.
Mitigação de ataques DDoS
O serviço de mitigação de ataques DDoS serve para monitorar, detectar e bloquear esse tipo de ataque em poucos segundos com uso da tecnologia. Uma vez detectado o ataque, existem algumas opções de soluções para mitigá-lo. São elas:
- Avaliação de risco: Consiste em realizar, periodicamente, auditorias em seus dispositivos, servidores e redes. Isso não evita o ataque DDos, mas ajuda a conhecer os pontos de vulnerabilidade para diminuir os danos e interrupções causados por ele.
- Diferenciação de tráfego: Utiliza como estratégia de proteção espalhar o tráfego de ataque em uma rede de servidores distribuídos para que seja absorvido pela rede e se torne mais gerenciável.
- Blackhole: Como o próprio nome diz, é um buraco negro criado pelo administrador de rede ou provedor para rotear todo o tráfego para uma rota nula, descartando-o da rede. Funciona literalmente como um buraco negro “absorvendo” todo o tráfego, tanto o de usuários legítimos quanto o mal-intencionado, e descartando-o sem informar à fonte que os dados não chegaram ao destino pretendido.
- Limitação de taxa: Essa é uma estratégia simples, que limita o número de solicitações que podem ser aceitas por um servidor durante um período de tempo. À medida que o tipo do ataque é identificado e a camada que ele está atingindo, cria-se regras para controlar o tráfego e mitigar o ataque sem que o dispositivo, a rede ou o servidor fiquem inoperantes.
- Firewalls: O firewall é um dispositivo que funciona como uma “parede” entre a internet e os servidores ou dispositivos. Essa parede filtra as solicitações de tráfego. Para isso, o firewall utiliza um conjunto de regras que podem ser modificadas caso haja atividades suspeitas realizadas pelo DDos. Ele pode ser implantado na rede através de dispositivo físico ou no servidor através de software.
A mitigação DDos Telic utiliza diversas soluções em seu serviço de mitigação de ataque DDos, de acordo com o tipo de ataque e as camadas afetadas.
Onde é realizada a mitigação dos ataques de DDoS?
A velocidade de resposta da infraestrutura responsável pela mitigação é um fator determinante de sucesso da mitigação DDos, em um cenário de ataques cada vez mais complexos. Para isso, servidores localizados próximos a infraestrutura de redes sob ataque possuem menor latência, podendo tornar a resposta ao ataque quase imediata. Já para servidores externos, o tempo de resposta é maior, e isso pode repercutir na experiência dos usuários dos serviços providos pela rede sob ataque, uma vez que o tráfego é levado até uma infraestrutura longe da origem do ataque (outro país, por exemplo). Alguns serviços de mitigação fazem esse tipo de abordagem por conta dos custos altos de banda necessários para desviar um ataque DDoS em sua localidade, buscando valores de banda baixos no exterior por exemplo.
Formas de fazer a mitigação DDoS
As formas mais praticadas de fazer a mitigação DDoS são: por Cross-conect, Vlan-bilateral e Túnel-Gre. Confira as características de cada uma delas.
Cross-conect
Nesta opção é necessário que o cliente esteja fisicamente no mesmo POP ou data center que a empresa mitigadora, seja com infraestrutura própria ou com transporte de terceiros. Sem dúvida, essa é a melhor opção de conexão, pois oferece um controle maior da conectividade e maior estabilidade na conexão. Em contrapartida, essa é a opção mais cara, pois geralmente envolve o custo do cross-connect, colocation, etc.
Vlan-bilateral
Para usarmos essa opção é necessário que o cliente esteja em algum IX em comum com a empresa mitigadora. Ao solicitar uma vlan-bilateral, uma conexão direta é estabelecida entre cliente e mitigadora através do IX escolhido. Aqui temos o melhor custo-benefício, pois geralmente se usa uma estrutura já existente para o serviço de mitigação. Assim, conseguimos um bom controle da conexão e uma excelente estabilidade. Porém, dependemos da estrutura do IX escolhido para entregar o serviço.
Túnel-Gre
Sem dúvida a opção mais utilizada para mitigação de ataques DDoS pelo mundo afora. Nesta opção não é necessário estar diretamente conectado à empresa mitigadora por cross, nem IX. Aqui utilizamos o trânsito IP já existente na estrutura do cliente para estabelecer um túnel e através dele receber o tráfego limpo. A grande vantagem aqui é que não temos custos e há rapidez na ativação. Como pontos negativos, temos a falta de controle da conexão e a necessidade de ajuste no TCP-MSS.
A solução completa de mitigação DDoS da Telic Technologies
A Telic Technologies possui uma solução completa de proteção e mitigação DDoS voltada para ISP´s (Provedores de internet) e operadoras de telecomunicações. Provendo a ferramenta de análise de Redes, a solução de mitigação de ataques DDoS e NOC com uma equipe pronta para tomar ações rápidas 24/7/365 em cenários de ataques DDoS. Quer entender mais sobre os serviços de DDoS da Telic Technologies? Acesse: https://tglobalnetworks.com/index.php/solucoes/mitigacao-ddos/