Olá, meu nome é Bruno Cerqueira, sou analista de redes aqui na Made4it e hoje vou explicar sobre Ataques DDoS e algumas maneiras de proteger sua empresa desses ataques.
Antes de tudo é importante entender o que significa “Denial of Service” e quais as consequências desse ataque. Um ataque de “Negação de serviço”, é uma tentativa de tornar os recursos de um sistema indisponíveis para seus utilizadores. Tem como principais alvos, servidores WEB, Roteadores, Switchs L3, ou qualquer equipamento com IP público.
Duas consequências mais conhecidas dos ataques DDoS:
> Consumir todos os recursos do Host (como memória e CPU), de maneira que não seja mais possível utilizar o sistema (como um servidor WEB indisponível)
> Utilizar toda a banda disponível entre os utilizadores e o sistema, de maneira que o Host não se comunique corretamente com o utilizador.
Agora que você sabe o que é o “DoS – Denial of Service”, você precisa conhecer o “DDoS – Distributed Denial of Service”, que traduzindo é a Negação distribuída de serviço, ou seja, o ataque vem de diversas origens diferentes. O DDoS pode ser comandado a partir de um computador que envia ordens para diversos, milhares de equipamentos infectados, como computadores, câmeras, sistemas de IPTV, servidores, criando um exército de máquinas escravizadas, gerando ataques em um ou diversos IPs de destino. E esses equipamentos comprometidos são chamados de ‘botnets’, que podem roubar dados, enviar spam e também realizar ataques DDoS. Para entender melhor o que são os ataques DDoS entre nesse conteúdo onde explicamos o que é e quais os principais motivos dos ataques
Existem diversos tipos de ataques DDoS, sendo os mais conhecidos:
Ataque Distribuído:
Tem como característica, um ataque originado a partir de diversos lo
cais diferentes, com um destino em comum, com o propósito de consumir todos os recursos do Host de destino ou utilizar toda a banda disponível, de modo que o Host não consiga conectividade com demais equipamentos da Internet. Esse tipo de ataque pode afetar também outros equipamentos da empresa, como roteadores e switchs do caminho até o Host de destino.
Ataque por Amplificação:
Como o próprio nome sugere, o intuito desse ataque é amplificar a quantidade de tráfego que vai chegar em uma determinada rede. É bem comum nesse tipo de ataque que o IP de origem do pacote não corresponda com o IP original, conhecido como Spoofing, assim o atacante consegue enviar milhares de requisições para um Servidor com IP de origem forjado, fazendo com que o Servidor responda a requisição e enviando diversas respostas para um Host que não fez qualquer requisição daquele servidor. O ponto principal desse tipo de ataque é utilizar servidores DNS, NTP, entre outros, que consigam amplificar o tamanho do pacote. Se a origem enviar uma solicitação com 64 Bytes, o servidor pode responder com 640 Bytes por exemplo, amplificando o tamanho do ataque em 10x, tornando o ataque mais eficiente.
Existem ainda diversos outros tipos de ataques, alguns que podem abusar de uma vulnerabilidade de um equipamento em específico, fazendo dele um novo equipamento para gerar ataque ou ele pode consumir todos os recursos disponíveis desse equipamento, de modo que ele fique inoperante para outros serviços.
E agora, o que fazemos para proteger a rede desses ataques DDoS?
Assim como existe as ferramentas do atacante, também temos ferramentas e meios para proteger o provedor ou a empresa.
O que precisamos é mitigar o ataque, que consiste em proteger o alvo dos ataques DDoS. Há diversas maneiras de fazer a mitigação, entre elas, existem técnicas de desvio utilizando roteamento.
As 2 mais utilizadas são:
- Roteamento BGP: Podemos desviar o tráfego para um serviço de mitigação que fará a análise do tráfego e vai permitir apenas a passagem de tráfego legítimo
- Roteamento DNS: Podemos apontar no servidor DNS o IP do serviço de mitigação ao invés do IP real. O Serviço de mitigação vai verificar o tráfego e bloquear o tráfego malicioso, redirecionando o tráfego legítimo para o servidor
Considerando o roteamento utilizando BGP, temos algumas opções que o provedor ou a empresa pode utilizar para se proteger de ataques na camada de rede:
- Utilização de Appliance Local: Detecta e direciona o tráfego para um servidor local para fazer a proteção.
- Vantagem:
- Não requer a compra de link protegido ou Link Clean Pipe
- Desvantagem:
- Custos elevados para implementação da infraestrutura
- Pode ser ineficaz para ataques volumétricos, caso não tenha uma infraestrutura adequada
- Vantagem:
- Anúncio de IP via BGP para Blackhole: Deixa um IP inutilizável na internet!
- Vantagem:
- Não requer a compra de link protegido ou Link Clean Pipe
- Vantagem:
- Desvantagem:
- Vai parar toda navegação e conectividade para o IP anunciado para Blackhole
- Pode não ser eficiente em casos de ataques direcionados para diferentes IPs de um ASN
- Requer uma ferramenta para análise de Flow e tomada de ação automática para anúncio BGP
- Anúncio de prefixo /24 para Link Clean Pipe/Link de Mitigação/Link Anti-DDoS/Link Protegido
- Vantagem:
- Não vai parar a conectividade de nenhum dos IPs da rede
- Vantagem:
- Desvantagem:
- Dependendo da solução adquirida, pode aumentar a latência
- Exige a compra de um link Clean Pipe
- Não serve para 100% do tempo protegido
- Pode ter problemas com MTU, sendo necessário ajustes no TCP MSS em casos de utilização do túnel GRE.
- Requer uma ferramenta para análise de Flow e tomada de ação automática para anúncio BGP
- Utilização de link 100% protegido
- Vantagem:
- Não requer nenhuma ferramenta para detecção do ataque
- A proteção é feita 100% do tempo
- Geralmente não afeta navegação do usuário final
- Vantagem:
- Desvantagem:
- Custos mais alto com a utilização de link protegido
Como cuidar para que seu provedor não seja origem de um ataque DDoS?
A maioria dos ataques são feitos por Amplificação, Spoofing, equipamentos infectados, entre outros. Uma boa prática é aplicar configurações e firewall para evitar que isso ocorra dentro da sua empresa, como:
- Configurar Servidor DNS recursivo, NTP, para que responda apenas a sua rede interna
- Filtros Anti Spoofing (conhecido como RPF)
- Firewall bloqueando portas de serviços em direção clientes residenciais (para casos de ISPs)
- Participar do programa MANRS, para que sua rede seja monitorada por fora
- Acompanhar vulnerabilidades pelo site Qrator
- Evitar IP público em Servidores Locais (com softwares para gerência da rede), e caso tenha, é necessário sempre manter software atualizados e firewall bem implementado protegendo os serviços desses servidores
E não posso deixar de indicar uma ferramenta que consiga fazer a detecção de Ataques e a tomada de ação para proteger sua rede, o Made4Flow. Caso queira mais informações, pode consultar aqui
Enfim, qualquer rede na internet está sujeita ao ataque DDoS, mas é importante sempre manter as boas práticas operacionais, conhecer os tipos de ataques e os meios para se proteger, caso um dia você seja vítima desse crime.
Bruno Cerqueira | CCNA | HCIA | MTCNA | JNCIA