Nestas últimas duas semanas, várias empresas brasileiras vêm sofrendo ataques DDoS em seus sites e portais, os atacantes estão utilizando técnica de IP Spoofing, o que mais impressiona é que as empresas que sofreram este tipo de ataque não possuíam configurações básicas de segurança em seus roteadores habilitadas, como por exemplo bloquear todos os ips da RFC 1918:

 

As Linhas de comando para bloquear estas redes em roteadores Cisco são as seguintes:

Router# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# ip access-list ext ingress-antispoof
Router(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 any
Router(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 any 
Router(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 any 
Router(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 any
Router(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 any
Router(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 any     
Router(config-ext-nacl)# permit ip any any     
Router(config-ext-nacl)# exit

Router(config)#int s0/0
Router(config-if)#ip access-group ingress-antispoof in

Mas como você deve proceder no meio de um ataque desses ? Digo isso pois aqueles que já sofreram esse tipo de ataque sabem que os seus Firewalls e roteadores chegam a 100% de CPU, sendo ssim, impossível de serem acessados. A solução neste caso é o velho conhecido boot, mas com um detalhe, o cabo que prove o link Internet deverá estar desconectado do roteador, com isso o analista terá tempo de configurar a regra.

Outro ponto é que se o Firewall ou roteador de borda, são estes equipamentos que deverão conter as regras mencionadas, já estiverem sobrecarregados você conseguirá eliminar boa parte dos ataques, mas estes equipamentos ficaram com uma sobrecarga maior.

Vejam que a melhor forma de detectar ataques DDoS ainda está análise quanto as conexões abertas em seus roteadores e servidores, Nagios e outras ferramentas de monitoração podem ser configuradas para enviar um alerta no momento que um ataque é iniciado.

Uma outra solução que grandes empresas vêm utilizando é a configuração de 2 redes em failover para os seus principais websites, vejam por exemplo o site do UOL:

 dig www.uol.com.br

; <<>> DiG 9.6.0-APPLE-P2 <<>> www.uol.com.br
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50271
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.uol.com.br.			IN	A

;; ANSWER SECTION:
www.uol.com.br.		42	IN	A	200.221.2.45
www.uol.com.br.		42	IN	A	200.147.67.142

;; Query time: 187 msec
;; SERVER: 16.110.135.51#53(16.110.135.51)
;; WHEN: Fri Dec 17 14:37:47 2010
;; MSG SIZE  rcvd: 64

Um ataque terá como principal vítima o 200.221.2.45, a UOL poderá realizar um redirecionamento em seus roteadores de borda para que toda a requisição direcionada para o IP 200.147.67.142 seja redirecionado para o 200.221.2.45. No caso de um ataque ao primeiro IP, a UOL poderá mudar a tabela de roteamento, dizendo que a rede ou ip atacante só acessa o 200.221.2.45 e o resto do mundo o ip 200.147.67.142.

Essas são algumas formas de tentar mitigar ataques DDoS.

P.S.: Não trabalho no UOL e juro que não sei se eles possuem este tipo de configuração, onde o único momento que eu soube que eles ficaram fora do ar foi na cobertura dos ataques de 11 de Setembro, há 10 anos.