Os Quatro Passos Para Vencer o DDoS

21:32 Roberto Muszkat 0 Comentarios


Explicando o DDoS
Os ataques DDoS são ataques de negação de serviço (DoS) só que ao invés de provir de uma única máquina, são iniciados de várias, a fim de interromper as operações normais. DoS tradicional força um excesso de rede, servidor, ou recursos de aplicativos para desabilitar o acesso ao serviço de destino. Esses ataques amplificam os efeitos de ataques DOs, usando milhares de máquinas para lançar seus ataques. As duas classes principais de ataques DDoS, são ataques de rede e aplicação.

Os Quatro Passos para Mitigar o Ataque DDoS
Existem diversas medidas que empresas podem tomar para mitigar os riscos de sofrerem um ataque desse tipo. Vamos ressaltar, as 4 principais medidas que podem ser tomadas:

1 – Super provisionar banda para absorver os picos de DDoS
Esta é uma das medidas mais comuns para aliviar ataques DDoS, muito utilizado por e-commerces em época de Black Friday, mas também é provavelmente a mais cara, especialmente porque os atuais ataques DDoS podem ser dez ou até cem vezes maior do que os níveis de tráfego padrão para aquela aplicação. Uma alternativa para o excesso de provisionamento de banda de Internet, é a utilização de um serviço de segurança escalável sob demanda para absorver e filtrar o tráfego DDoS. Serviços de proteção de DDoS são projetados para parar maciços ataques DDoS, sem sobrecarregar as conexões de Internet das empresas, fazendo com que o usuário comum não seja afetado com latência nem indisponibilidade da aplicação.

2 – Monitoramento da Aplicação e do Tráfego
A melhor maneira de detectar quando você está sob um ataque, é através de um aplicativo de monitoramento de tráfego de rede e aplicação. Por meio dessas ferramentas, você poderá determinar se o mau desempenho da sua aplicação é devido a falhas de provedores de serviço ou um ataque malicioso. O monitoramento do tráfego, também permite que as organizações diferenciem o tráfego legítimo de tráfego provindo de fontes mal intencionadas. Idealmente, os administradores do departamento de segurança devem rever os níveis de tráfego, o desempenho da aplicação, o comportamento anômalo, violações do protocolo e códigos de erro do servidor Web. Como os ataques DDoS são quase sempre executados por botnets, ferramentas de aplicação devem ser capazes de diferenciar o tráfego bot  do usuário padrão. Esse monitoramento permite que a equipe de TI e segurança tenham um panorama e visibilidade do que está ocorrendo em tempo real podendo assim, tomar decisões mais precisas.

3 – Detecção de Usuários Mal Intencionado
Existem dois métodos principais para identificar tráfego de ataque DDoS: identificar usuários mal intencionados e identificar solicitações maliciosas. Para ataques DDoS em aplicações, muitas vezes, identificar usuários mal intencionados pode ser a forma mais eficaz para mitigar os ataques.

Reconhecer fontes de ataque conhecidos, tais como endereços IP maliciosos que estão atacando ativamente outros sites, proxies anônimos e redes TOR. Fontes de ataque conhecidas, são responsáveis por uma grande percentagem de todos os ataques DDoS. Como essas fontes maliciosas estão em constante mudança, é muito importante que as empresas mantenhas as suas blacklists sempre atualizadas para diminuir o risco e aumentar a eficiência da sua proteção.

Identificar os agentes bot conhecidos. Ataques de negação de serviço são em sua maioria realizados por clientes automatizados. Muitos destes agents ou bots tem características únicas que os diferenciam dos agentes comuns. Ferramentas que reconhecem agentes bot, podem facilitar muito na hora da identificação e de bloquear os ataques de múltiplas fontes de DoS.

Executar testes de validação para determinar se o visitante da Web é um ser humano ou um bot é uma boa saída para se proteger de ataques. Por exemplo, se o navegador do visitante aceita cookies e entende os redirecionamentos de HTTP é bem provável que esse visitante em questão é um ser humano e não um bot script.

Criar regras de bloqueio através de geolocalização. Para alguns ataques DDoS, a maioria do tráfego de ataque pode ser originário de um país ou região específica do mundo. Bloqueio de solicitações de países indesejáveis pode ser uma maneira simples para parar a grande maioria do tráfego de ataque DDoS.

4 – Detecção de Requests Maliciosos
Como os ataques DDoS em aplicação imitam tráfego regular aplicação Web, esses podem ser difíceis de detectar através de técnicas típicas para DDoS de rede. No entanto, usando uma combinação de controles no nível da aplicação e detecção de anomalias, as organizações podem identificar e interromper o tráfego malicioso. As medidas incluem:

Detectar um número excessivo de requests de uma única sessão ou usuário – fontes ataques automatizados, quase sempre solicitam páginas Web mais rapidamente do que usuários válidos fugindo assim do padrão de navegação.

Previna-se contra redes e aplicações conhecidas por realizarem ataques DDoS (Blacklist) – Muitos tipos de ataques DDoS confiam em técnicas de rede simples, como fragmentação de pacotes, spoofing, ou a não realização de handshakes de TCP. Ataques mais avançados, tipicamente em nível de aplicativo, tentam sobrecarregar os recursos do servidor. Estes ataques podem ser detectados através da atividades incomuns de usuários e assinaturas de ataques conhecidos.

Distinguir os atributos e as consequências de um pedido malicioso. Alguns ataques DDoS podem ser detectados por meio de padrões de ataque conhecidos ou assinaturas. Além disso, as solicitações da Web para ataques DDoS na sua grande maioria não estão em conformidade com as normas do protocolo HTTP. O ataque Slowloris, por exemplo, inclui cabeçalhos HTTP redundantes.

Ao longo dos últimos anos, a industrialização de ataques e a ascensão do hacktivismo resultaram em uma explosão de ataques poderosos e destrutivos de DDoS. Usando toolkits simples, os criminosos podem construir rapidamente botnets de milhares ou até milhões de computadores. Usuários mal intencionados podem alugar estes botnets para desencadear ataques DDoS destrutivos sobre praticamente qualquer vítima. Além disso, os hacktivistas voltaram-se para as redes sociais e ferramentas de ataque como LOIC e Refref para desencadear ataques DDoS poderosos.

As técnicas de mitigação apresentados, são apenas algumas das medidas que as organizações podem usar para combater ataques de DDoS. Devido à variedade de vetores de DDoS, ataques maciços de rede, como SYN floods, muitas empresas começaram a terceirizar sua segurança DDoS aos prestadores de serviços de segurança dedicados e especializados nessa questão.

0 comentários: