Ataques DDoS: Destino ou Fatalidade?

0

Acordei um pouco mais cedo no sábado para aproveitar que as crianças estavam dormindo e ligar meu Xbox 360 com mais tranquilidade, pois queria assistir ao mais recente episódio do Inside Xbox Brasil com a Thais Matsufugi. Para a minha triste surpresa, não consegui me registrar na Xbox Live, rede de autenticação mundial da Microsoft que fornece diversos serviço de jogos, vídeos e música online. Diante de um fato tão incomum, foi inevitável lembrar do ano passado, quando um problema similar aconteceu e, durante alguns dias, ninguém conseguiu se registrar.

Como gravei o progresso de alguns dos meus principais jogos na Cloud da Microsoft, sem a minha autenticação, não poderia usá-los. Assim, decidi aproveitar o tempo fazendo outra coisa. Fui pesquisar na internet para saber o que estava acontecendo e descobri que mais um ataque DDoS (Distributed Denial-Of-Service/Negação de Serviço Distribuída) estava acontecendo. Aparentemente, este ataque estava sendo organizado pelo grupo Lizard Squad desde 1 de dezembro, com a promessa de mais uma enxurrada de ataques no Natal.

Devemos ter em mente que a natureza de um ataque DDoS é saturar a infraestrutura com um envio gigantesco de pacotes de vários continentes, com o objetivo de impedir que as atividades normais de uma aplicação sejam executadas. São usadas redes com grande volume de máquinas capturadas conhecidas como botnets ou servidores mal configurados, com diversos serviços sem proteção. Como consequência, tem-se a geração de prejuízos à imagem e aos ganhos financeiros de uma empresa. Tentar discutir o motivo sob o contexto da fama ou motivação financeira instruída por um concorrente encontra pouca relevância nesta conversa. Não há dúvida que este é um tema para horas de conversa e que encontraremos outro fórum para este debate, mas antes precisamos entender como um ataque DDoS funciona. Observe com cuidado as linhas seguintes.

O primeiro componente do ambiente que indica a assinatura de um ataque DDoS é um exagerado fluxo de pacotes oriundos da internet. Com um imenso volume de pacotes requisitando simultaneamente um acesso à aplicação, a solução de firewall interrompe seu funcionamento limitado ao número de novas sessões por segundo. Tal limite não pode ser previsto por nenhum fabricante de hardware e o ambiente fica totalmente fora do ar até o ataque parar. A origem do ataque deve ser contida com soluções específicas e, é claro, com equipes devidamente treinadas nos ambientes de Data Center.

Neste cenário, mesmo uma estrutura de roteadores com 40Gbps, caso se depare com um ataque de 41Gbps vai saturar e deixar o ambiente indisponível. O ataque mais famoso até o momento atingiu 400Gbps, usando múltiplas técnicas de ataque e várias fontes internacionais.

Se voltarmos nossos olhos para o cenário brasileiro, veremos que o cenário das empresas com Data Center vem sofrendo continuamente com ataques que objetivam indisponibilizar o ambiente. Tenho visto que os ataques DDoS não estão mais escolhendo uma classe específica de empresa. Não importa mais o tamanho da corporação ou quanto ela fatura durante o ano de atividade. Independentemente da área de atuação, uma solução contra ataques massivos de negação de serviço é algo imprescindível para qualquer empresa com serviços publicados na internet.

Uma dúvida comum de muitas empresas é se estarão realmente protegidas colocando somente um hardware específico contra ataques DDoS dentro de seu ambiente avaliando o acesso à internet. A resposta é um grande e simples "não". O acesso à internet vai saturar, enchendo de pacotes e causando a indisponibilidade. Lembre-se que o foco do modelo de ataque que estamos discutindo aqui é saturar a infraestrutura. Sem a atuação de um Data Center com uma equipe especializada para auxiliá-lo no bloqueio, a compra deste hardware será um investimento inútil.

Minha recomendação é que trabalhemos sempre com Data Centers que tenham Serviços Gerenciados de Segurança (MSS-Managed Security Services). Assim, a proteção contra técnicas como DNS Reflection, ACK Reflection ou DNS Amplification poderão obter melhores contramedidas. Estas técnicas são muito usadas em um ataque DDoS, mas não vou detalhá-las neste post, pois é um tema para outra discussão.

Claro que eu não poderia deixar de concluir com a pergunta clássica: contratar ou não uma solução para a proteção contra ataques DDoS? Recomendo sempre que seja feita a avaliação focada na famosa 1h. Quanto vale 1h do seu serviço parado? Quanto você deixa de receber se suas atividades forem interrompidas em 1h? Quanto vale a imagem da sua empresa se todos comentarem que seu site não possui os critérios de segurança para o seu funcionamento?
Denis Augusto Araújo de Souza, arquiteto de Soluções do UOLDIVEO, autor do livro em português sobre FreeBSD, O Poder dos Servidores em Suas Mãos. Segunda edição: ebook publicado pela Amazon.com.br.

Link Indicado:

Ataques DDoS na CloudFlare: http://info.abril.com.br/noticias/ti/2014/02/maior-ataque-ddos-da-historia-atinge-servidores-da-cloudflare.shtml

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.