O pessoal da Arbor Networks lançou um video que conta a história dos ataques DDoS – Uma década de ataques DDoS (livre tradução para o português). Bem interessante e informativo, este vídeo trás uma série de dados sobre este tipo de ataque, que aterroriza tantas empresas e que ainda tem gente que acha palhaçada.

Ataques DDoS são danosos às empresas pelos seguintes motivos:

  • O seu bloqueio não é uma das coisas mais simpels de se fazer devido a utilização de redes zumbies ou botnets. São milhões de endereços ips, oriundos dos mais diferentes tipos de países, quero dizer, ranges.
  • Hoje há ataques Layer 5 e Layer 7, onde o layer 7 precisa de menos recursos, banda internet, que se comparado com o layer 4.
  • Você só consegue mitigá-lo tendo mais banda do que o utilizado pelo ataque, falando de ataques Layer 4. Se o ataque é de 100Gb/s, a sua rede precisa de no mínimo isso, mais a quantidade de banda necessária para atender os seus clientes.

Soluções com múltiplus endereços ips e balanceadores de carga, como utilizados pelo UOL, conseguem mitigar ataques Layer 4.

Roteadores e firewall com Throughput bem elevado em cluster ou balanceados, também são excelentes para combater ataques DDoS Layer 4. Mas eles precisam ser bem monitorados e configurados.

Uma coisa importante e que muita gente esquece é a monitoração de seus servidores e dispositivos de rede. Saber o comportamento deles em períodos de normalidade ou de stress farão a total diferença na hora de analisar se aquele alto volume de acesso é um ataque ou não.

Cloud Computing vs DDoS

Muitos administradores de servidores e redes veem em soluções providas by Cloud Computing uma forma de se resolver o problema de ataques DDoS por uma vez por todas.

Podemos até chegar neste raciocínio. Vamos provendo cada vez mais recursos no decorrer que eles forem sendo solicitados. Sem limites, sem down-time e sem perda de resposta.

Eu, particularmente, acho isso um engano. Em primeiro lugar, porque há um preço para se pagar e ele pode ser bem alto e em segundo, mas não menos importante. O negócio, a aplicação ou ambiente deve ter sido planejado para crescer de forma vertical, quero dizer, adicionando mais e mais recursos computacionais como redes e servidores.

Sabemos que nem todos os ambientes que rodam em cloud não foram planejados desta forma.

Receitas contra ataques DDoS

Há alguns meses, eu tive uma discussão com alguns membros da comunidade de segurança da informação a respeito das receitas de bolo que rolaram pela internet e que pedem para serem utilizadas em servidores Linux – alterações do kernel via /etc/sysctl.conf  – e regras no iptables.

As receitas para o primeiro caso, alterações no kernel de servidores Linux, ajudam a mitigar ataques Layer 4 – vejam que coloquei um link para definição do verbo mitigar. 🙂

A segunda também, mas só nos casos em que você utiliza o IPtables como solução de firewall. Que a tabela de regras não esteja abarrotada e utilizando memória e CPU para cacete, e que o seu servidor tenha sofrido um tuning para suportar uma boa quantidade de tráfego.