Mitigação de ataques DDoS

A Mitigação de Ataques de DDoS, ou Mitigação de DDoS, refere-se ao processo de proteger o alvo de ataques de negação de serviço distribuído (DDoS), que usualmente são realizados e causam as vítimas perdas economicas enormes.^[1]^[2] Para mitigar os ataques de DDoS, especialmente quando estes ocorrem em grande volume, é preciso contar com uma inteligência e infraestrutura de segurança robusta. O Monitoramento Contínuo é essencial para que a Equipe de Resposta a Incidentes possa reagir rapidamente frente a qualquer ataque de DDoS. Quando se conta com uma infraestrutura de monitoramento, ganha-se muito em inteligência de segurança e resposta a incidentes. Ao Monitoramento Contínuo, deve-se aliar firewalls bem gerenciados, soluções endpoint e IPS. É o conjunto da infraestrutura de segurança que permitirá a mitigação real dessas ameaças.^[3]

Um típico processo de mitigação pode ser definido em quatro estágios:

Detecção -> Desvio -> Filtragem -> Análise

Detecção – Fase caracterizada pela identificação de desvios de tráfego que sugerem a formação de um ataque DDoS. A efetividade é medida pela habilidade de reconhecer o ataque o mais rápido possível, com detecção instantânea sendo o melhor caso, existe um campo científico vasto nesta área em busca de formas eficientes de realizar a detecção, visto que a mesma é difícil ou até predição da mesma.^[4]^[5]
Desvio – Nesta fase o tráfego é redirecionado do alvo, tanto por ser filtrado ou totalmente descartado.
Filtragem – Na fase de filtragem o tráfego DDoS é separado, usualmente identificando padrões que são instantaneamente distintos entre tráfego legítimo (i.e., humanos, chamadas de API e mecanismos de pesquisa) e visitantes maliciosos. Responsividade é uma função de ser possível bloquear um ataque sem interferir na experiência dos usuários. O ideal é a solução ser transparente aos visitantes.
Análise – Na última fase de análise os registros de segurança são analisados para colher informações sobre o ataque, tanto para identificar o(s) atacantes quanto para aprimorar a resiliência. A efetividade do processo depende da existência de registros de segurança detalhados que possam oferecer maior visibilidade do tráfego do ataque.

Técnicas de Desvio: Roteamento DNS VS BGP[editar | editar código-fonte]

Os processos descritos abaixo dependem nos mecanismos de redirecionamento que consigam desviar o tráfego malicioso do alvo.

Na maioria dos casos, uma solução para mitigação irá usar ou roteamento DNS (Domain Name System) ou BGP (Border Gateway Protocol) para desviar o tráfego malicioso. Essa escolha irá definir suas funcionalidades e o tipo de segurança que pode ser ofertada.

Roteamento DNS (ou redirecionamento DNS) é um método muito usado por serviços de mitigação DDoS.

O Roteamento DNS é ativado trocando o nome CNAME e o Registro A,^[6] para que aponte o IP(s) do provedor de mitigação. Após isso, DNS inicialmente roteia todas as requisições HTTP/S para seu provedor de mitigação, onde as requisições maliciosas são descartadas e as legítimas são encaminhadas.

O redirecionamento DNS somente é efetivo em mitigação de ataques na camada de aplicação. No entanto, tem o benefício de mascarar o endereço de IP do domínio. Isso oferece alguma proteção contra ataques diretamente na camada IP.

Roteamento BGP é uma solução ativada manualmente. Atua na mitigação de ataques DDoS direcionados ao endereço de IP do host na camada de rede.

Ativado por uma anúncio BGP, ele desvia todos os pacotes da camada de rede do endereço de IP(s) para o servidor de mitigação. A partir disso, os pacotes maliciosos são filtrados e o restante são encaminhados para o host por GRE tunnel. O roteamento BGP é o método de desvio mais compreensivo. É efetivo por todos os protocolos, oferecendo proteção de todos os tipos de ataques da camada de aplicação e rede. Além do mais ele se beneficia por ser ativado manualmente. Isso pode reduzir o tempo de resposta e causar algum tipo de vazamento de tráfico do ataque.

Decidir entre DNS e BGP baseado na solução geralmente converge para a questão de qual o tipo de ataques estão sendo mais usuais. Da perspectiva de segurança, é considerada boa prática usar roteamento DNS e BGP em conjunto, o primeiro para proteção contra ataques na camada de aplicação e o outro para defender contra ataques direcionados a camada IP e outras camadas. Por isso, hoje, é comum ter ambos sendo oferecidos pelo mesmo provedor de mitigação.

Escolhendo o provedor de Mitigação[editar | editar código-fonte]

Além do método de desvio de tráfego, existem vários outros aspectos que deve ser considerado para escolher um provedor de mitigação, eles incluem:

Capacidade da rede[editar | editar código-fonte]

A capacidade da rede é um grande meio de teste de serviços de mitigação DDoS. É medido em Gbps (gigabits por segundo) ou Tbps (terabits por segundo) e reflete em toda a escalabilidade disponível durante o ataque.

Por exemplo, uma rede de 1 Tbps teoricamente bloqueia o mesmo tamanho de ataque de tráfego, menos a banda requerida para manter as operações regulares.

A maioria dos serviços de mitigação baseados em cloud oferecem redes multi-Tbps, muito além da necessidade dos clientes. Serviços de mitigação On-premise por outro lado, são limitados por padrão, tanto pelo tamanho da rede do cliente quanto da capacidade do hardware.^[7]^[8]

Capacidade de processamento[editar | editar código-fonte]

Em adição a capacidade na taxa de transferência, deve ser posto em consideração as capacidades de processamento na solução de mitigação. Eles são representados nas taxas de encaminhamento, medida em Mpps (milhões de pacotes por segundo).

Hoje não é incomum para ataques atingirem 50 Mpps ou com alguns chegando, no máximo a 200 - 300 mpps. Um ataque excedendo o poder de processamento do provedor de mitigação irá derrubar as suas defesas, por isso é importante conhecer as suas limitações.

Tempo de mitigação[editar | editar código-fonte]

Uma vez que o ataque foi detectado, o tempo de mitigação é crítico. A maioria dos ataques podem derrubar o alvo em cerca de minutos e o processo de restauração pode tomar horas. O impacto negativo nesse tempo de inatividade pode potencialmente afetar sistemas críticos. Provendo detecção preventiva, as soluções Always-on tem uma vantagem. Elas oferecem um serviço de mitigação quase instantânea, protegendo das primeiras ondas de qualquer ataque. Mas nem todas essas soluções oferecem esse tipo de resposta. É por isso que tempo de mitigação é importante na hora de avaliar qual serviço de proteção a DDoS escolher, além de testes nas fases de trial do serviço.

Técnicas de suavização da camada de rede[editar | editar código-fonte]

Vários provedores de serviços têm diferentes métodos de se proteger de ataques na camada de rede, alguns deles são mais preferíveis que outros:

Null routing – Null routing (ou Roteamento nulo ou blackholing) direciona todo tráfego para um endereço IP não existente. A desvantagem é a alta taxa de falso positivos tanto descartando visitantes maliciosos quanto visitantes legítimos.
Sinkholing – Esse método desvia tráfego malicioso do alvo, usualmente usando uma lista de endereços IP maliciosos para identificar tráfego DDoS. Como o Null Routing, o sinkholing ainda é vulnerável a falso positivos como botnet IP's que podem ser usados por usuários legítimos. Além do mais sinkholing é inefetivo contra IP spoofing, um recurso usualmente utilizado em ataques à camada de rede.
Scrubbing – Um aprimoramento ao sinkholing, o scrubing roteia todo tráfego de entrada por um serviço seguro. Pacotes de rede maliciosos são identificados baseados no seu conteúdo do cabeçalho, tamanho, tipo, ponto de origem e etc. O desafio é utilizar o scrubbing a uma taxa que não cause lentidão ou impacte em usuários legítimos.

Técnicas de suavização da camada de aplicação[editar | editar código-fonte]

Sendo mais silenciosos que outras partes da camada de rede, os ataques de DDoS da cama de aplicação tipicamente imitam o tráfego de usuários legítimos para evadir medidas de segurança. Para pará-los, deve-se distinguir os perfis de tráfego de entrada HTTP/S de bots DDoS e de visitantes legítimos.

Durante os trials dos serviços de mitigação, testar as defesas da camada de aplicação é essencial. Uma filtragem efetiva usa uma inspeção entre o cabeçalho HTTP/S e os padrões comportamentais, em adição a informação do IP e do Autonomous System Number (ASN). É igualmente importante verificar que o serviço não utilizem demasiadamente CAPTCHA's, delay pages e outros métodos de filtragem inefetivos.

Proteção de recursos secundários[editar | editar código-fonte]

A infraestrutura da rede pode conter inúmeros servidores e outros recursos de TI. Pode-se incluir servidores web, servidores DNS, servidores de email, servidores de FTP entre outros. No cenário de ataque DDoS, eles podem também ser alvos do atacante, causando tempo de inatividade. Avaliar o risco de toda a infraestrutura de rede e determinar quais componentes devem ser protegidos é uma estratégia válida. Na maior parte dos casos de ataque, o servidor DNS é o alvo mais frequente, logo pôr esforços na segurança desse componente é imprescindível.

Valor e SLA[editar | editar código-fonte]

Definir um preço para serviços de mitigação podem variar de taxas mensais ou pagamentos durante o serviço é necessário.

O segundo é baseado no acúmulo de banda dos ataques (e.g, 50 Gbps por mês) ou o número de horas que estava sob ataque (e.g, 12 horas por mês). Um ataque DDoS pode durar horas ou dias (e até semanas), o custo pode aumentar exponencialmente. Por isso existem os acordos de taxas mensais para acordos de longo prazo.

O Acordo de nível de serviço do provedor de mitigação (SLA) é outro aspecto importante a se considerar, até mais que o valor, pois determina a eficiência do serviço e possivelmente a crebilidade do sistema. Algumas métricas a se considerar:

Nível de funcionamento – Geralmente o nível de funcionamento é definido como all-times, abaixo disso é considerado obsoleto.
Níveis de proteção – As described herein, the provider’s SLA should define attack types, size and duration that it covers.
Nível de suporte do serviço – O SLA deve conter o tempo de resposta para suporte a problemas do provedor. Isso é usualmente definido baseado nos níveis de problemas de segurança enfrentados.

Generalista ou Especialista[editar | editar código-fonte]

Existem diversos tipos de tecnologias, serviços e provedores compreendendo o mercado de mitigação DDoS. As Companhias especialistas focadas em segurança provêem soluções tipicamente mais avançadas com experts dedicados e segurança contínua com monitoramento de novos vetores de ataque. Já as generalistas, como ISP's e provedores de host oferecem soluções a mitigação básicas a ataques como um adicional aos seus serviços principais, com objetivo de aumentar suas vendas.

Serviços de mitigação que são oferecidos por generalistas podem ser adequados para ataques simples, porém, se é crítico que a aplicação tenha seu funcionamento garantido, o provedor especialista é o melhor e mais recomendado para diminuir os riscos de comprometimento dos serviços da mesma.

Ver também[editar | editar código-fonte]

Referências[editar | editar código-fonte]

↑ Nazario, Jose (Agosto de 2008). «DDoS attack evolution». Network Security. 2008 (7): 7–10. doi:10.1016/S1353-4858(08)70086-2
↑ Mansfield-Devine, Steve (Dezembro de 2011). «DDoS: threats and mitigation». Network Security. 2011 (12): 5–12. doi:10.1016/S1353-4858(11)70128-3
↑ Blackert, W. J.; Gregg, D. M.; Castner, A. K.; Kyle, E. M.; Hom, R. L.; Jokerst, R. M. (Abril de 2001). «Analyzing interaction between distributed denial of service attacks and mitigation technologies». Proceedings DARPA Information Survivability Conference and Exposition. 1: 26–36 vol.1. doi:10.1109/DISCEX.2003.1194870
↑ Sanmorino, A.; Yazid, S. (Março de 2013). «DDoS Attack detection method and mitigation using pattern of the flow». 2013 International Conference of Information and Communication Technology (ICoICT): 12–16. doi:10.1109/ICoICT.2013.6574541
↑ Sung, Minho; Xu, Jun (Setembro de 2003). «IP traceback-based intelligent packet filtering: a novel technique for defending against Internet DDoS attacks». IEEE Transactions on Parallel and Distributed Systems. 14 (9): 861–872. ISSN 1045-9219. doi:10.1109/TPDS.2003.1233709
↑ https://support.dnsimple.com/articles/a-record/ (em inglês)
↑ Wang, Bing; Zheng, Yao; Lou, Wenjing; Hou, Y. Thomas (22 de março de 2015). «DDoS attack protection in the era of cloud computing and Software-Defined Networking». Computer Networks. 81: 308–319. doi:10.1016/j.comnet.2015.02.026
↑ Yu, S.; Tian, Y.; Guo, S.; Wu, D. O. (Setembro de 2014). «Can We Beat DDoS Attacks in Clouds?». IEEE Transactions on Parallel and Distributed Systems. 25 (9): 2245–2254. ISSN 1045-9219. doi:10.1109/TPDS.2013.181

Ligações externas[editar | editar código-fonte]

[1] Nazario, Jose (Agosto de 2008). «DDoS attack evolution». Network Security. 2008 (7): 7–10. doi:10.1016/S1353-4858(08)70086-2

[2] Mansfield-Devine, Steve (Dezembro de 2011). «DDoS: threats and mitigation». Network Security. 2011 (12): 5–12. doi:10.1016/S1353-4858(11)70128-3

[3] Blackert, W. J.; Gregg, D. M.; Castner, A. K.; Kyle, E. M.; Hom, R. L.; Jokerst, R. M. (Abril de 2001). «Analyzing interaction between distributed denial of service attacks and mitigation technologies». Proceedings DARPA Information Survivability Conference and Exposition. 1: 26–36 vol.1. doi:10.1109/DISCEX.2003.1194870

[4] Sanmorino, A.; Yazid, S. (Março de 2013). «DDoS Attack detection method and mitigation using pattern of the flow». 2013 International Conference of Information and Communication Technology (ICoICT): 12–16. doi:10.1109/ICoICT.2013.6574541

[5] Sung, Minho; Xu, Jun (Setembro de 2003). «IP traceback-based intelligent packet filtering: a novel technique for defending against Internet DDoS attacks». IEEE Transactions on Parallel and Distributed Systems. 14 (9): 861–872. ISSN 1045-9219. doi:10.1109/TPDS.2003.1233709

[6] ttps://support.dnsimple.com/articles/a-record/ (em inglês)

[7] Wang, Bing; Zheng, Yao; Lou, Wenjing; Hou, Y. Thomas (22 de março de 2015). «DDoS attack protection in the era of cloud computing and Software-Defined Networking». Computer Networks. 81: 308–319. doi:10.1016/j.comnet.2015.02.026

[8] Yu, S.; Tian, Y.; Guo, S.; Wu, D. O. (Setembro de 2014). «Can We Beat DDoS Attacks in Clouds?». IEEE Transactions on Parallel and Distributed Systems. 25 (9): 2245–2254. ISSN 1045-9219. doi:10.1109/TPDS.2013.181

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]