Neste artigo iremos ajudar aos profissionais de TI a entender os três tipos mais comuns de ataque de DDoS. Os sistemas operacionais baseados em Linux (openSUSE, RedHat, CentOS, Ubuntu, Debian e etc…) ou Microsoft Windows são afetados de formas diferentes, porem ambos recebem ataques diários. Além disso, saiba também como bloquear ataques DDoS de forma eficiente!
Hoje os ataques DDoS estão se tornado comuns, porem muitos profissionais da área técnica, desconhece maneiras de bloqueio deste tipo de ataque.
Embora seja crucial ter um sistema automatizado que possa responder rapidamente a ataques, é igualmente importante implementar estratégias que ajudem a atingir seu objetivo de garantir a disponibilidade do serviço para usuários legítimos.
Três tipos de ataques DDoS mais comuns
Afinal, os ataques DDoS são de natureza assíncrona: você não pode impedir que o invasor inicie um ataque, mas com as estratégias certas, você pode ser resiliente ao ataque.
Aqui, revelaremos três maneiras críticas de os sistemas de defesa DDoS poderem parar o impacto de ataques em suas trilhas enquanto protegem seus usuários:
- Desvio de rastreamento
- Reconhecimento de padrões
- Reputação
Três estratégias para bloquear ataques DDoS
Cada um dos três métodos listados acima é conhecido como estratégia de mitigação de DDoS baseada na fonte. As estratégias baseadas na fonte implementam a causa como base para a escolha do tráfego a ser bloqueado. A alternativa de mitigação baseada no destino depende da modelagem do tráfego para impedir que o sistema caia.
Embora a modelagem do tráfego de destino seja eficaz para impedir que a integridade do sistema seja sobrecarregada durante um ataque, ela é igualmente repleta de danos colaterais indiscriminados para usuários legítimos.
Vamos dar uma olhada em cada um:
1. Desvio de rastreamento: Uma estratégia de desvio de rastreamento funciona observando o tráfego continuamente para aprender o que é qualificado como normal e o que representa uma ameaça.
Especificamente, um sistema de defesa pode analisar a taxa de dados ou a taxa de consulta de várias características (por exemplo, BPS, PPS, taxa SYN-FIN, taxa de sessão etc.) para determinar qual tráfego é legítimo e malicioso ou pode identificar bots ou tráfego falsificado por sua incapacidade de responder a perguntas desafiadoras.
2. Reconhecimento de padrões: uma estratégia de reconhecimento de padrões usa o aprendizado de máquina para analisar padrões incomuns de comportamento comumente exibidos por botnets DDoS e ataques de amplificação refletidos em tempo real.
Por exemplo, ataques DDoS são iniciados por um invasor motivado que utiliza uma plataforma de orquestração, fornecendo às armas distribuídas instruções sobre como inundar a vítima com tráfego indesejado. O comando e controle comum (C&C) e os ataques distribuídos exibem padrões que podem ser aproveitados como uma estratégia de bloqueio causal
3. Reputação: Para utilizar a reputação como uma estratégia de bloqueio baseada na fonte, um sistema de defesa DDoS utilizará inteligência de ameaças fornecida por pesquisadores de endereços IP de botnet DDoS, além de dezenas de milhões de servidores expostos usados em ataques de amplificação refletida.
O sistema usará essa inteligência para bloquear qualquer endereço IP correspondente durante um ataque.
Qualquer uma dessas três estratégias de mitigação de DDoS baseada na fonte requer mais recursos de computação do que proteção indiscriminada de destino.
No entanto, eles têm a vantagem significativa de impedir que usuários legítimos sejam bloqueados, reduzindo assim o tempo de inatividade e mitigando perdas desnecessárias.
Nos links abaixo você poderá se aprofundar na matéria:
Iptables – Script completo para rede corporativa incluindo LAN/DMZ e filtro de ATAQUES
Fail2ban: configuração básica para prevenir ataques de força bruta