Os Quatro Passos Para Vencer o DDoS
Explicando o DDoS
Os ataques DDoS são ataques de negação de serviço
(DoS) só que ao invés de provir de uma única máquina, são iniciados de várias,
a fim de interromper as operações normais. DoS tradicional força um excesso de
rede, servidor, ou recursos de aplicativos para desabilitar o acesso ao serviço
de destino. Esses ataques amplificam os efeitos de ataques DOs, usando milhares
de máquinas para lançar seus ataques. As duas classes principais de ataques
DDoS, são ataques de rede e aplicação.
Os Quatro Passos para Mitigar o Ataque DDoS
Existem diversas medidas que empresas podem tomar
para mitigar os riscos de sofrerem um ataque desse tipo. Vamos ressaltar, as 4
principais medidas que podem ser tomadas:
1 – Super provisionar banda para absorver os picos de
DDoS
Esta é uma das medidas mais comuns para aliviar
ataques DDoS, muito utilizado por e-commerces em época de Black Friday, mas
também é provavelmente a mais cara, especialmente porque os atuais ataques DDoS
podem ser dez ou até cem vezes maior do que os níveis de tráfego padrão para
aquela aplicação. Uma alternativa para o excesso de provisionamento de banda de
Internet, é a utilização de um serviço de segurança escalável sob demanda para
absorver e filtrar o tráfego DDoS. Serviços de proteção de DDoS são projetados
para parar maciços ataques DDoS, sem sobrecarregar as conexões de Internet das
empresas, fazendo com que o usuário comum não seja afetado com latência nem
indisponibilidade da aplicação.
2 – Monitoramento da Aplicação e do Tráfego
A melhor maneira de detectar quando você está sob um
ataque, é através de um aplicativo de monitoramento de tráfego de rede e
aplicação. Por meio dessas ferramentas, você poderá determinar se o mau
desempenho da sua aplicação é devido a falhas de provedores de serviço ou um
ataque malicioso. O monitoramento do tráfego, também permite que as
organizações diferenciem o tráfego legítimo de tráfego provindo de fontes mal
intencionadas. Idealmente, os administradores do departamento de segurança
devem rever os níveis de tráfego, o desempenho da aplicação, o comportamento
anômalo, violações do protocolo e códigos de erro do servidor Web. Como os
ataques DDoS são quase sempre executados por botnets, ferramentas de aplicação
devem ser capazes de diferenciar o tráfego bot
do usuário padrão. Esse monitoramento permite que a equipe de TI e
segurança tenham um panorama e visibilidade do que está ocorrendo em tempo real
podendo assim, tomar decisões mais precisas.
3 – Detecção de Usuários Mal Intencionado
Existem dois métodos principais para identificar
tráfego de ataque DDoS: identificar usuários mal intencionados e identificar
solicitações maliciosas. Para ataques DDoS em aplicações, muitas vezes,
identificar usuários mal intencionados pode ser a forma mais eficaz para
mitigar os ataques.
Reconhecer fontes de ataque conhecidos, tais como endereços IP
maliciosos que estão atacando ativamente outros sites, proxies anônimos e redes
TOR. Fontes de ataque conhecidas, são responsáveis por uma grande percentagem
de todos os ataques DDoS. Como essas fontes maliciosas estão em constante
mudança, é muito importante que as empresas mantenhas as suas blacklists sempre
atualizadas para diminuir o risco e aumentar a eficiência da sua proteção.
Identificar os agentes bot conhecidos. Ataques de negação de serviço são
em sua maioria realizados por clientes automatizados. Muitos destes agents ou
bots tem características únicas que os diferenciam dos agentes comuns.
Ferramentas que reconhecem agentes bot, podem facilitar muito na hora da
identificação e de bloquear os ataques de múltiplas fontes de DoS.
Executar testes de validação para determinar se o visitante da Web é um
ser humano ou um bot é uma boa saída para se proteger de ataques. Por exemplo,
se o navegador do visitante aceita cookies e entende os redirecionamentos de
HTTP é bem provável que esse visitante em questão é um ser humano e não um bot
script.
Criar
regras de bloqueio através de geolocalização. Para alguns ataques DDoS, a
maioria do tráfego de ataque pode ser originário de um país ou região
específica do mundo. Bloqueio de solicitações de países indesejáveis pode ser
uma maneira simples para parar a grande maioria do tráfego de ataque DDoS.
4 – Detecção de Requests Maliciosos
Como os ataques DDoS em aplicação imitam tráfego
regular aplicação Web, esses podem ser difíceis de detectar através de técnicas
típicas para DDoS de rede. No entanto, usando uma combinação de controles no
nível da aplicação e detecção de anomalias, as organizações podem identificar e
interromper o tráfego malicioso. As medidas incluem:
Detectar um número excessivo de requests de uma única sessão ou usuário
– fontes ataques automatizados, quase sempre solicitam páginas Web mais
rapidamente do que usuários válidos fugindo assim do padrão de navegação.
Previna-se contra redes e aplicações conhecidas por realizarem ataques DDoS (Blacklist) – Muitos tipos de ataques DDoS confiam em técnicas de rede simples, como fragmentação de pacotes, spoofing, ou a não realização de handshakes de TCP. Ataques mais avançados, tipicamente em nível de aplicativo, tentam sobrecarregar os recursos do servidor. Estes ataques podem ser detectados através da atividades incomuns de usuários e assinaturas de ataques conhecidos.
Distinguir os atributos e as consequências de um pedido malicioso.
Alguns ataques DDoS podem ser detectados por meio de padrões de ataque
conhecidos ou assinaturas. Além disso, as solicitações da Web para ataques DDoS
na sua grande maioria não estão em conformidade com as normas do protocolo
HTTP. O ataque Slowloris, por exemplo, inclui cabeçalhos HTTP redundantes.
Ao longo dos últimos anos, a industrialização de
ataques e a ascensão do hacktivismo resultaram em uma explosão de ataques
poderosos e destrutivos de DDoS. Usando toolkits simples, os criminosos podem
construir rapidamente botnets de milhares ou até milhões de computadores.
Usuários mal intencionados podem alugar estes botnets para desencadear ataques
DDoS destrutivos sobre praticamente qualquer vítima. Além disso, os
hacktivistas voltaram-se para as redes sociais e ferramentas de ataque como
LOIC e Refref para desencadear ataques DDoS poderosos.
As técnicas de mitigação apresentados, são apenas
algumas das medidas que as organizações podem usar para combater ataques de
DDoS. Devido à variedade de vetores de DDoS, ataques maciços de rede, como SYN
floods, muitas empresas começaram a terceirizar sua segurança DDoS aos
prestadores de serviços de segurança dedicados e especializados nessa questão.
0 comentários: