Pense que em um dos dias mais agitados da sua empresa, num fechamento de ponto online, ou conciliação bancária, junto ao site da instituição financeira, seu departamento financeiro e rh param. Agora, imagine que seu time de vendas tenha agendado uma rotina forte de reuniões online com vários clientes em potencial, mas eles não poderão se conectar. Se trabalhar conectado a internet é essencial para sua empresa, você precisa entender o que são os ataques DDoS.
A sigla, traduzida para o português significa, ataque distribuído de negação de serviço, que são ataques maliciosos que visam interromper o trafego de dados do seu servidor, serviço de rede, ou que podem sobrecarregar toda sua infraestrutura de rede, direcionando um trafego de dados da internet para o seu ambiente, prejudicando e muitas vezes deixando inoperante, o seu ambiente. De uma forma mais simples, o ataque DDoS é como você pegar seu carro na hora do rush e ficar preso num engarrafamento que nem deveria existir naquela rua, congestionando o trânsito, e te deixando parado sem poder sair daquele fluxo de carros e sem deixar você chegar ao seu destino. Entendido o que os ataques são, agora precisamos entender o seguinte.
Como são feitos os ataques DDoS?
Os ataques DDoS são realizados por redes de dispositivos conectados à internet. Essas redes são compostas por computadores e outros aparelhos (como dispositivos IoT) que foram infectados com malware, permitindo que sejam controlados remotamente por um hacker. Cada um desses dispositivos é conhecido como bot (ou zumbi), e um conjunto de bots é chamado de botnet. Depois que uma botnet é criada, o hacker pode lançar um ataque enviando comandos remotos para cada bot. Quando o servidor ou a rede de uma vítima é alvo de uma botnet, cada bot envia solicitações para o endereço IP do alvo, possivelmente causando uma sobrecarga no servidor ou na rede, resultando em uma negação de serviço para o tráfego normal. Como cada bot é um dispositivo legítimo da internet, distinguir o tráfego de ataque do tráfego normal pode ser complicado.
E quais são os indícios que posso perceber que esteja sofrendo esse ataque?
O sintoma mais evidente de um ataque DDoS é quando um site ou serviço se torna repentinamente lento ou inacessível. No entanto, como diversos eventos podem causar problemas de desempenho semelhantes — como um aumento repentino de tráfego legítimo —, geralmente é necessário realizar uma investigação mais aprofundada. Ferramentas de análise de dados de tráfego podem ajudar a identificar alguns desses sinais indicativos de um ataque DDoS:
Um volume suspeito de tráfego vindo de um único endereço IP ou de uma faixa de endereços IP.
Um fluxo massivo de tráfego de usuários com comportamentos semelhantes, como tipo de dispositivo, localização geográfica ou versão do navegador web.
Um aumento inexplicável de solicitações para a mesma página ou ponto de terminação.
Padrões de tráfego anômalos, como picos em horários inusitados ou padrões que parecem artificiais (por exemplo, um pico a cada 10 minutos).
Se você identificou alguns dos sintomas acima, fique calmo estou aqui para te ajudar!
Se você já for cliente INTEREDE dos links empresariais de rede, nossos equipamentos já possuem essa proteção e atuamos junto ao nosso time de Gerência de Redes para mitigar esse cenário em sua empresa, protegendo o seu negócio desse tipo de ataque. Mas, se você ainda não é nosso cliente nos serviços de link de dados, aqui vão algumas práticas que sua equipe e você devem implementar, ou revisitar urgentemente.
O primeiro ponto a se avaliar ao mitigar um ataque DDoS é separar o que é o tráfego do ataque e o tráfego legítimo. Se o lançamento, ou um anúncio de uma oferta de um produto causar um grande aumento de visitantes no site da empresa, restringir todo esse tráfego seria um erro. Contudo, se uma empresa de repente experimentar um aumento de tráfego vindo de fontes maliciosas conhecidas, será necessário agir para aliviar o ataque. A dificuldade está em separar os clientes reais do tráfego malicioso. No atual cenário da internet, o tráfego DDoS pode se manifestar de várias maneiras, desde ataques simples de uma única origem até ataques DDoS complexos e multivetoriais. O ataque DDoS multivetorial usa várias táticas para sobrecarregar o alvo de diferentes formas, desviando os esforços de mitigação para várias frentes.Um ataque que visa múltiplas camadas da pilha de protocolos simultaneamente, como uma amplificação de DNS (camadas 3 e 4) combinada com uma inundação de HTTP (camada 7), é um exemplo de DDoS multivetorial. Mitigar um ataque DDoS multivetorial requer estratégias diversas para combater diferentes vetores.
De modo geral, quanto mais complexo o ataque, mais difícil será separar o tráfego malicioso do legítimo: o objetivo do invasor é se camuflar ao máximo, tornando os esforços de mitigação menos eficazes.
Tentativas de mitigação que envolvem a redução ou limitação indiscriminada do tráfego podem bloquear tráfego legítimo junto com o malicioso, e o ataque pode se adaptar para contornar as defesas. Uma solução em camadas é ideal para enfrentar tentativas complexas de interrupção.
Roteamento para um Black Hole
Uma solução comum para administradores de rede é criar uma rota tipo black hole e direcionar o tráfego para ela. Na sua forma mais simples, quando uma filtragem tipo black hole é implementada sem critérios específicos, tanto o tráfego legítimo quanto o malicioso são desviados para uma rota nula e removidos da rede.
Se um ativo da internet estiver sob ataque DDoS, o seu provedor de internet pode redirecionar todo o tráfego do site para um black hole como uma forma de defesa. Não é uma solução ideal, pois, efetivamente, dá ao invasor o objetivo desejado: tornar a rede inacessível.
Rate Limiting
Limitar o número de solicitações que um servidor aceita em um período de tempo é outra forma de mitigar ataques de negação de serviço.
Embora o Rate Limiting seja útil para reduzir a velocidade de “raspadores” da web e mitigar tentativas de login por força bruta, pode não ser suficiente para lidar com um ataque DDoS complexo.
No entanto, o Rate Limiting é um componente útil de uma estratégia eficaz de mitigação de DDoS. Saiba mais sobre o Rate Limiting da Cloudflare.
Firewall de Aplicativos Web
Um Firewall de Aplicativos Web (WAF) ajuda a mitigar ataques DDoS na camada 7. Posicionado entre a internet e o servidor de origem, um WAF atua como um proxy reverso, protegendo o servidor de tráfego malicioso específico. Invista em ferramentas de monitoria de rede e atualização. Ferramentas de monitoração de rede podem te ajudar a identificar as anomalias que ocorrem em seu ambiente e serem um fator para ajustar o que é normal, no trafego, do que é a camada maliciosa.
Ainda quer saber mais sobre os conteúdos de DDoS, ou gostaria de saber mais? Chame um de nossos consultores no 0800 494 0600 e agende uma reunião para saber como a INTEREDE e seu link de dados, podem manter a sua empresa fora de perigo e online.
