fbpx

Tudo sobre Ataque DDoS (Distributed Denial of Service ) – Soluções Avançadas Contra DDoS

Tudo sobre Ataque DDoS (Distributed Denial of Service ) – Soluções Avançadas Contra DDoS

Por

Existem algumas soluções avançadas para proteger e mitigar nossa infraestrutura contra DDoS (ataques de negação de serviço) . Hoje, vamos nos aprofundar neles.

Antes de entrar no assunto, temos que estar cientes de onde estamos em relação aos ataques de negação de serviço.

crescimento dos ataques de negação de serviço aumentou exponencialmente nos últimos 5 anos, não só no número de ataques, mas também no volume e largura de banda que esses ataques consomem, afetando empresas que pareciam impossíveis de atacar devido ao seu grande investimento em segurança e o tamanho de sua infraestrutura ( ataque cibernético mais grave dos últimos 10 anos ).

Estamos encerrando o ano de 2022, onde houve um aumento de mais de 80% no número de ataques de negação de serviço.

No último mês, foi registrado o ataque volumétrico com maior capacidade da história, chegando a 1,7 Tbps. As previsões para os próximos anos não são animadoras, alguns meios de comunicação preveem que se multipliquem por 100 em 2021 e o aumento será exponencial nos anos seguintes .

Estamos chegando a um ponto em que contratar ou implementar esses ataques é muito barato e os danos que eles podem causar à concorrência geram custos muito altos.

Estima-se, que o custo de um ataque DDoS em pequenas e médias empresas cause, em média, perdas de $ 120.000 e nas grandes empresas cerca de $ 2.000.000, e isso é algo que na situação atual, com milhares de pessoas trabalhando em teletrabalho (digitalização de serviços e empresas), vai aumentar e pode fazer com que as empresas tenham de assumir esses prejuízos ou sejam obrigadas a fazer um forte investimento em segurança.

mitigação de DDoS

Vamos dividir as técnicas de mitigação de DDoS em várias fases, para entender quais possibilidades temos para nos defender contra ataques DDoS em qualquer infraestrutura.

Prevenção DDoS

Uma das prioridades básicas que temos e que podemos chamar de fase 0, é a prevenção de ataques . Isso requer uma série de medidas que dificultarão muito o ataque de botnets programados e ataques muito básicos.

Deve-se levar em conta que na cibersegurança existe o conceito de “hacking value”, que é a relação entre a dificuldade de atacar e o benefício que pode ser obtido . Se o alvo for muito fácil de atacar, o “valor do hack” aumenta; pelo contrário, se uma organização de cibercriminosos quiser nos atacar e não vir uma superfície de ataque fácil de explorar, provavelmente procurará outro alvo.

Medidas que podem ser tomadas:

  • Melhorar a arquitetura de rede . É importante ter várias zonas de segurança, nas quais aumentamos a proteção, à medida que nos expomos à Internet. As DMZs são áreas relativamente isoladas dos recursos internos, com alto nível de segurança e arquitetura “front-end” e “back-end”. Isso significa que os servidores que são acessados ​​publicamente na Internet não contêm dados do usuário ou informações confidenciais.
  • Maior desempenho e largura de banda . O superdimensionamento de recursos nos ajudará caso recebamos um ataque DDoS volumétrico. Quanto maior a capacidade da nossa infraestrutura, mais difícil será obter uma negação de serviço.
  • Firewall L7 . Algo bastante básico atualmente, é poder filtrar e criar políticas robustas baseadas em aplicativos, onde só permitiremos o acesso aos aplicativos que são utilizados, verificando os parâmetros L7. A filtragem das camadas 3 e 4 não é mais eficaz, pois há muitas técnicas de evasão e ofuscação de pacotes.
  • IPS/IDS . É comum que os equipamentos que temos em uma infraestrutura não estejam 100% atualizados e protegidos. Um mecanismo IDS / IPS nos ajudará a proteger das vulnerabilidades existentes e nos avisará nos estágios iniciais de um ataque, como reconhecimento, varredura….
  • Endurecimento . Deve ficar gravado na cabeça que todos os computadores que compõem uma rede convergente devem ser computadores robustos, e que só permitam a entrada de tráfego para serviços legítimos. Muitos ataques são realizados em protocolos como DNS, NTP e UDP; Estes protocolos devem ser guardados apenas, se forem estritamente necessários da Internet para a nossa rede (Servidor) e se forem utilizados, protegê-los tanto quanto possível.

Detecção DDoS

Se recebermos um ataque DDoS, devemos ter a capacidade de detectá-lo e diferenciá-lo do tráfego legítimo . A fase de detecção é essencial para poder agir sobre os diferentes tráfegos que entram na nossa rede. Existem muitos métodos de detecção muito confiáveis, dos quais obtemos muito poucos falsos positivos. Os ataques DDoS mais avançados usam tráfego legítimo e técnicas de spoofing para fazer parecer que o tráfego que estamos recebendo é legítimo.

Os métodos de detecção tornaram-se um desafio para todos os fornecedores de segurança . Os ataques DDoS evoluíram nos últimos anos, com ataques muito difíceis de detectar e diferenciar do tráfego legítimo. Dependendo do tipo de negócio que temos e da criticidade dos serviços, devemos ter métodos de detecção mais básicos ou avançados para poder filtrar o tráfego “sujo” e que os aplicativos possam continuar funcionando sob um ataque DDoS. Em outro artigo, detalharemos as formas de detecção, pois são muitas, de diversidade e complexidade.

Respondendo a DDoS

Depois de detectar o tráfego ilegítimo, devemos aplicar diferentes ações e respostas para evitar que esse tráfego chegue à nossa infraestrutura de comunicações.

  • Reencaminhamento . Consiste no reencaminhamento de prefixos em porções menores por diferentes ASs. Nem todas as empresas possuem AS (sistema autônomo) e a capacidade de fazer isso em BGP. Serviços externos podem ser contratados para reencaminhamento.
  • Roteamento de Buracos Negros . Quando detetamos um ataque DDoS a um IP ou desde um IP é adicionado a um buraco negro ou a uma rota para null, ou seja, uma rota para um balde de bits, e assim evitamos a entrada de tráfego malicioso na nossa rede.
  • SinKHoling . Um banco de dados é usado com IPs maliciosos que são bloqueados ou enviados para um destino inexistente. Não é uma técnica muito eficaz, pois os ataques DDoS mais recentes usam milhares de IPs diferentes.
  • Centro de Esfoliação . É um centro de filtragem preparado com tecnologia avançada para absorver todo o tráfego de entrada e utilizando diferentes técnicas de detecção e filtragem (proxy SYN, limiares, cookie HTTP, inspeção L7…), que permite apenas a entrada de tráfego legítimo na rede. O tráfego deve ser desviado para um centro de depuração e isso retornará apenas tráfego limpo.

Adaptação após DDoS

O último passo é analisar e ter um plano de resposta para ataques de negação de serviço . Uma vez que sofremos ataques DDoS, é importante rastrear esses ataques, analisar as técnicas que foram usadas e melhorar a infraestrutura de segurança e comunicações.

É um processo “vivo”, onde é fundamental contar com profissionais qualificados e com a experiência necessária para tomar decisões que melhorem a segurança contra DDoS, sem afetar a funcionalidade de aplicativos e serviços.

Deixe uma resposta

0
YOUR CART
  • No products in the cart.
Subtotal:
R$0,00
CHECKOUT
BEST SELLING PRODUCTS
Mkauth-Configurar Planos de Venda
Mkauth-Configurar Planos de Venda
R$49,90
CURSO NR 06, NR 10 e NR 35
CURSO NR 06, NR 10 e NR 35
Integração BANCO IUGU com MKAUTH
Integração BANCO IUGU com MKAUTH
R$49,90
TREINAMENTO HUAWEI - NE8000
TREINAMENTO HUAWEI - NE8000
LOAD BALANCE COM MIKROTIK
LOAD BALANCE COM MIKROTIK