Ser vítima de um Ataque Distribuído de Negação de Serviço (DDoS) pode ser catastrófico.
O custo médio para uma empresa, isto quando é vítima de um ataque DDoS bem-sucedido, é de cerca de 100.000 dólares para cada hora de ataque, de acordo com a empresa de segurança Cloudflare.
Também existem custos a longo prazo, como perda de reputação, degradação da marca e perda de clientes.
É por isso que vale a pena investir recursos significativos para prevenir um ataque DDoS, ou pelo menos minimizar o risco de ser vítima de um, em vez de se concentrarem em como parar um ataque DDoS depois de iniciado.
Se têm a sorte de ter sobrevivido a um ataque – ou simplesmente são sábios o suficiente para pensar no futuro – vamos abordar em seguida a prevenção de ataques DDoS.
Compreender os ataques DDoS
Um Ataque de Negação de Serviço (DoS) envolve, por norma, o bombardeio de um endereço IP com grandes volumes de tráfego.
Se o endereço IP apontar para um servidor da Web, o tráfego legítimo não conseguirá contactá-lo, pelo que o site ficará indisponível.
Outro tipo de ataque DoS é um ataque de inundação, onde um grupo de servidores é inundado com solicitações que necessitam de ser processadas pelas máquinas das vítimas.
Muitas vezes, estes são gerados em grande número por scripts executados em máquinas comprometidas que fazem parte de um botnet, resultando no esgotamento dos recursos dos servidores das vítimas, como CPU ou memória.
Um ataque DDoS opera nos mesmos princípios. A exceção é que o tráfego malicioso é gerado a partir de várias fontes, embora orquestrado a partir de um ponto central.
O facto de que as fontes de tráfego são distribuídas – geralmente em todo o mundo – torna a prevenção de ataques DDoS muito mais difícil do que impedir ataques DoS originados de um único endereço IP.
Saiba mais sobre os diferentes tipos de ataques DDoS
Outro motivo pelo qual prevenir ataques DDoS é um desafio é que muitos dos ataques atuais são ataques de “amplificação”.
Tal envolve o envio de pequenos pacotes de dados para servidores comprometidos, ou mal configurados, em todo o mundo, que, por sua vez, respondem com o envio de pacotes muito maiores para o servidor sob ataque.
Um exemplo bem conhecido disso é um ataque de amplificação de DNS, em que uma solicitação de DNS de 60 bytes pode resultar no envio de uma resposta de 4.000 bytes para a vítima – um fator de amplificação de cerca de 70 vezes o tamanho do pacote original.
Mais recentemente, os piratas exploraram um recurso de servidor chamado memcache para lançar ataques de amplificação do memcached.
Nesse tipo de ataque, uma solicitação de 15 bytes pode resultar numa resposta de 750 kb, um fator de amplificação de mais de 50.000 vezes o tamanho do pacote original.
O maior ataque DDoS de todos os tempos, lançado contra o Github, foi um ataque de amplificação do memcached que atingiu o pico de 1,35 Tbps de dados, atingindo os servidores do Github.
Seis etapas para prevenir ataques DDoS
Comprem mais largura de banda
De todas as maneiras para prevenir ataques DDoS, a etapa mais básica que podem realizar para tornar a vossa infraestrutura “resistente a DDoS” é garantir que têm largura de banda suficiente para lidar com picos de tráfego que podem ser causados por atividades maliciosas.
No passado, era possível evitar ataques DDoS se tivessem mais largura de banda à vossa disposição do que qualquer invasor provavelmente teria.
Porém, por si só, comprar mais largura de banda não é uma solução para prevenir ataques DDoS.
Criem redundância na vossa infraestrutura
Para tornar o mais difícil possível ao invasor lançar com sucesso um ataque DDoS contra os vossos servidores, certifiquem-se de espalhá-los por vários datacenters com um bom sistema de balanceamento de carga, isto de modo a distribuir o tráfego entre eles.
Se possível, esses datacenters devem estar em países diferentes, ou pelo menos em regiões diferentes do mesmo país.
Para que essa estratégia seja realmente eficaz, é necessário garantir que os datacenters estejam conectados a redes diferentes e que não haja gargalos de rede óbvios ou pontos únicos de falha nessas redes.
Distribuir os vossos servidores de forma geográfica tornará difícil a um invasor atacar com sucesso mais de uma parte dos vossos servidores.
Dessa forma, deixam a outros servidores não afetados a capacidade de assumir pelo menos parte do tráfego extra que os servidores afetados normalmente tratariam.
Configurem o vosso hardware de rede contra ataques DDoS
Existem várias alterações simples de configuração de hardware que podem fazer para ajudar a prevenir um ataque DDoS.
Por exemplo, configurar o vosso firewall ou router para descartar pacotes ICMP de entrada ou bloquear respostas DNS de fora da vossa rede (bloqueando a porta UDP 53) pode ajudar a prevenir certos ataques volumétricos baseados em ping e DNS.
Implantem módulos de hardware e software anti-DDoS
Os vossos servidores devem ser protegidos por firewalls de rede e firewalls de aplicações da web mais especializados. Devem, também, usar balanceadores de carga e proteger o vosso computador com um antivírus.
Podem comparar a eficiência de alguns antivírus aqui e garantir que o vosso servidor também tem essa proteção de software básica.
Além disso, muitas empresas de hardware incluem agora proteção de software contra ataques de protocolo DDoS, como ataques de inundação SYN, por exemplo, monitorizando quantas ligações incompletas existem e libertando-as quando o número atinge um valor limite configurável.
Módulos de software específicos também podem ser adicionados a algum software de servidor da web para fornecer alguma funcionalidade de prevenção de DDoS.
Por exemplo, o Apache 2.2.15 vem com um módulo chamado mod_reqtimeout para que se possa proteger contra ataques de camada de aplicação.
Um desses exemplos de ataques é o Slowloris, que abre ligações para um servidor web, mantendo-as abertas pelo maior tempo possível, e enviando solicitações parciais até o servidor não conseguir aceitar mais novas ligações.
Implantem um dispositivo de proteção DDoS
Muitas empresas de segurança, incluindo a NetScout Arbor, Fortinet, Check Point, Cisco e Radware, oferecem dispositivos que ficam na frente de firewalls de rede e são projetados para bloquear ataques DDoS antes que tenham efeito.
Fazem isso utilizando várias técnicas, incluindo a execução da linha de base do comportamento do tráfego e, em seguida, o bloqueio do tráfego anormal e o bloqueio do tráfego com base em assinaturas de ataque conhecidas.
A principal fraqueza desse tipo de abordagem de prevenção de ataques DDoS é que os próprios dispositivos são limitados na quantidade de taxa de transferência de tráfego que podem suportar.
Embora os dispositivos de última geração possam inspecionar o tráfego que chega a uma taxa de até 80Gbps ou mais, os ataques DDoS de hoje podem facilmente ter uma ordem de magnitude maior do que isso.
Protejam os vossos servidores DNS
Não se esqueçam que um agente mal-intencionado pode ser capaz de colocar os vossos servidores da web offline por DDoS noutros servidores DNS.
É importante, por isso, que os vossos servidores DNS tenham redundância. E também não é má ideia colocá-los em centros de dados diferentes atrás de balanceadores de carga.
A solução indicada pode até ser mudar para um fornecedor de DNS baseado na nuvem, uma vez que oferece alta largura de banda e vários pontos de presença em datacenters em todo o mundo.
Esses serviços são projetados especificamente com a prevenção de DDoS em mente.