Calma, muita calma! Você não é o primeiro e nem o último a sofrer com ataques DDoS. No primeiro momento é desesperador, mas existem técnicas que podem te ajudar a enfrentar esse grande problema em sua rede.
Vamos lá, separei em algumas partes do que fazer
É comum ocorrer falsos positivos, onde você acha que é um ataque, mas na verdade é um trafego anormal, podemos citar como exemplo uma atualização do Windows ou do iOS da Apple ou de dispositivos executando Android onde vários dispositivos se atualizam ao mesmo momento fazendo parecer ser um ataque, mas é um trafego real mas anormal.
Se seu caso não for um falso-positivo e confirmar realmente que é um Ataque DDoS o próximo passo é identificar por quais interfaces e para onde o ataque é direcionado, a qual cliente ou qual equipamento.
Mas como fazer isso? Existem várias formas de descobrir esse trafego, podemos citar
Mas no meio de tanto trafego como saber algo anormal? Geralmente ataques DDoS ocorrem em portas que usam amplificação, como mencionado no nosso artigo sobre o que é DDoS, podemos citar de exemplo o NTP ou SSDP. Ao avaliar que existe um trafego maior (geralmente com muito pacotes e muita banda de varias origens diferentes) para um IP especifico você pode passar para a próxima etapa.
A Blackhole ou RTBH – Remote Triggered Blackhole é a tecnica onde literalmente enviamos um IP para o “buraco negro” e esse IP para de funcionar tanto em sua rede como na Internet assim conseguindo interromper o Ataque. Atraves de um anuncio BGP é possivel fazer que o IP pare de funcionar e seja enviado para suas operadoras informando que aquele IP não deve receber trafego.
A Blackhole resolve o problema o problema em ataques direcionado há 1 ou poucos IP’s, mas caso o ataque seja direcionado a muitos IP’s a Blackhole não se torna efetiva por conta do numero máximo de prefixos anunciados na sessão BGP.
Se você quiser saber mais sobre Blackhole confira nosso artigo!
Prós:
Contras:
– O IP irá parar de funcionar totalmente
– Se caso o ataque seja direcionado a vários IP’s pode ser um problema maior
A Blackhole é funcional mas até certo ponto somente, em ataques maiores ou se os ataques foram insistentes e as técnicas mudarem atacando varios ela não suprirá a sua demanda
Quando os ataques mudam e começam a atacar vários IP’s a técnica de Blackhole não irá suprir a demanda e para continuar operando é necessário que alguém faça a limpeza do Trafego de ataque do trafego verdadeiro, para isso existem empresas que vendem links de mitigação que são conhecidos como Scrubbing Center ou Anti-DDoS.
Nesse tipo de link você direciona o seu trafego de Download para eles através do BGP e eles irão utilizar de seus servidores, roteadores, appliances e técnicas para limpar o trafego de Ataque do trafego real.
Se você quiser saber mais sobre Link de Mitigação confira nosso artigo eles, lá mostramos com mais detalhes o funcionamento.
Prós:
Contras:
Ataques DDoS irão ocorrer quando você menos espera, então criar a estrutura de proteção com automatização é extremamente necessário.
Para isso o Made4Flow possui o modulo de Anti-DDoS onde ele pode tomar a ação de enviar um IP para blackhole ou direcionar para a Mitigação quando detectar um ataque DDoS.
Com ele você pode receber os alertas via e-mail e ter a tranquilidade que a ferramenta está funcionando por você e tomando ações automatizadas para a proteção da sua rede.
Se você gostou compartilhe essa publicação!
Nos próximos artigos vamos te contar como prevenir ataques, como configurar uma blackhole em roteadores Mikrotik, Cisco, Juniper ou Huawei e muitos mais informações sobre DDoS.
Até a próxima