O que é mitigação de DDoS?


O que é mitigação de DDoS?

Um ataque de negação de serviço distribuído (DDoS) é uma das ameaças mais perniciosas no cenário de ameaças cibernéticas. Governos, empresas multinacionais e redes privadas sucumbiram ao ataque DDoS. Existem inúmeras maneiras pelas quais os ataques podem ser realizados. O pior de tudo é que esses ataques não exigem necessariamente a habilidade de um hacker para realizar ataques..


O objetivo de qualquer organização, não importa seu tamanho, deve ser reduzir a ameaça desses ataques. Como isso pode ser feito?

Estratégias de mitigação de DDoS.

Para entender a mitigação de DDoS, é preciso primeiro entender o ataque DDoS e suas variantes. Simplificando; um ataque DDoS procura desativar uma rede sobrecarregando-a com tráfego. Isso pode assumir várias formas, desde pacotes mal formados inundando um UDP protocolo, para enviar solicitações HTTP parciais até que o tráfego legítimo não esteja mais acessível.

O que faz o DDoS mitigação tão difícil hoje em dia é a complexidade do ataque. Houve um tempo no passado em que o DDoS ataca apenas as camadas superiores do modelo OSI (Open Systems Interconnection). Tais camadas incluíam os segmentos de transporte e rede. Agora, no entanto, os ataques DDoS evoluíram para que eles possam atingir níveis mais baixos (especialmente a camada de aplicativo). Isso dá às equipes azuis do SysAdmins e da cibersegurança (especialistas em defesa) muito mais a considerar em suas estratégias de mitigação de DDoS.

Existem quatro componentes básicos para qualquer boa estratégia de mitigação de DDoS. Esses componentes são Detecção, Reação, Encaminhamento, e Adaptação. Vamos aprofundar cada uma dessas estratégias de mitigação.

Detecção

O primeiro estágio da estratégia de mitigação procura discernir qual tráfego é legítimo e, inversamente, qual tráfego é malicioso. Não se pode ter uma situação em que usuários inócuos estejam sendo bloqueados de um site por acidente.

Isso pode ser evitado mantendo um registro constante de IP na lista negra endereços. Embora isso ainda possa prejudicar usuários inocentes, como aqueles que utilizam IPs proxy ou TOR por segurança, ainda é um primeiro passo decente. O bloqueio de endereços IP é bastante simples, mas é apenas uma parte da estratégia de detecção.

Em seguida, ao detectar um ataque DDoS, sua organização deve saber que o tráfego típico flui diariamente. Além disso, ajuda a ter uma métrica em dias de tráfego intenso, para que haja uma medida de linha de base. Isso ajudará a distinguir entre o fluxo anormalmente alto de tráfego e a experiência passada com tráfego “legitimamente” alto.

Reação

Se sua detecção for sólida, a reação a um ataque DDoS em andamento deve ser automática. Provavelmente, isso exigirá um serviço de terceiros especializado em prevenção de DDoS. A configuração manual de reações DDoS não é mais recomendada. A razão para isso é que os cibercriminosos se sensibilizaram com muitas das técnicas.

Em uma forte defesa contra DDoS, a etapa de reação começará imediatamente a bloquear o tráfego malicioso. Ele perceberá que o alto fluxo de tráfego está sendo criado por dispositivos zumbis em uma botnet. Essa filtragem deve começar a enfraquecer o ataque. A resposta depende dos recursos do provedor. Idealmente, o serviço de proteção utilizará uma combinação de técnicas em sua metodologia. Além do mencionado anteriormente Lista negra de IP, deve haver a capacidade de inspecionar pacotes, bem como de se envolver em limites de taxa.

Encaminhamento

O roteamento assume o tráfego restante que não pôde ser tratado no estágio de reação automática. O objetivo é interromper o tráfego e mantê-lo longe dos servidores segmentados. Existem duas estratégias de roteamento principais.

O primeiro deles é Roteamento DNS. Isso é realmente eficaz apenas com ataques DDoS direcionados à camada de aplicativo do modelo OSI. O que isso significa é que, mesmo se você mascarar seu verdadeiro endereço IP, o ataque ainda será bem-sucedido. O roteamento DNS força o tráfego malicioso a ser roteado novamente para o serviço de proteção DDoS “sempre ativo”. Ele assumirá a carga do ataque, permitindo assim que apenas tráfego legítimo acesse o servidor. Isso é feito alterando o registro CNAME e A. O registro A aponta para um endereço IP específico, enquanto o CNAME cria um alias para o mesmo endereço de IP.

A segunda estratégia de roteamento é chamada de roteamento do Border Gateway Protocol. Essa é uma configuração manual que força todo o tráfego mal-intencionado, direcionado à camada de rede, ao seu provedor de mitigação. Isso forçará a eliminação do tráfego DDoS, pelo menos na maior parte do tempo. Como mencionado anteriormente, uma configuração manual tem seus problemas. É mais lento e, como resultado, pode permitir que tráfego malicioso alcance o servidor de destino.

Adaptação

Esta é mais ou menos uma análise post-mortem de um ataque DDoS. É a parte da estratégia de mitigação que busca aprender o que foi feito de maneira correta e incorreta. Isso significa analisar a origem do ataque, ver o que foi permitido, tentar verificar a rapidez com que as defesas foram implantadas e, o mais importante, como impedir esse ataque com 100% de eficácia no futuro..

A mitigação de DDoS é complicada. À medida que os ataques continuam a evoluir, a cibersegurança estará, infelizmente, sempre um passo atrás. Não se pode lutar contra um inimigo; eles ainda não entendem. Somente após a superfície de um novo vetor de ataque é possível criar defesas. Mesmo assim, a implementação de técnicas fortes de mitigação de DDoS pode economizar uma grande quantidade de tempo e dinheiro perdidos em potencial.

Saiba mais sobre DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map