Estou sofrendo Ataques DDoS e agora?!

Calma, muita calma! Você não é o primeiro e nem o último a sofrer com ataques DDoS. No primeiro momento é desesperador, mas existem técnicas que podem te ajudar a enfrentar esse grande problema em sua rede.

Vamos lá, separei em algumas partes do que fazer

• Identifique se é realmente um ataque e quem está atacando

É comum ocorrer falsos positivos, onde você acha que é um ataque, mas na verdade é um trafego anormal, podemos citar como exemplo uma atualização do Windows ou do iOS da Apple ou de dispositivos executando Android onde vários dispositivos se atualizam ao mesmo momento fazendo parecer ser um ataque, mas é um trafego real mas anormal.

Se seu caso não for um falso-positivo e confirmar realmente que é um Ataque DDoS o próximo passo é identificar por quais interfaces e para onde o ataque é direcionado, a qual cliente ou qual equipamento.

Mas como fazer isso? Existem várias formas de descobrir esse trafego, podemos citar

• Se for um Roteador Mikrotik você pode usar a Ferramenta de Torch (Tools -> Torch) e analisar qual IP tem um consumo anormal
• Se você tiver usando um Servidor/Roteador com Linux ou FreeBSD você pode usar o tcpdump e analisar quais IP’s tem comunicação anormais
• Em Roteadores Cisco, Juniper, Huawei ou Nokia você irá precisar de um Analisar de Netflow como o Made4Flow e assim avaliar quais IP’s tem uma comunicação anormal
• Caso não seja possivel usar netflow (Netstream, jFlow, Netflow v5/v9/IPFIX ou Traffic Flow do RouterOS), você pode fazer um port-mirror e espelhar o trafego da porta de seu roteador para um servidor ou host que possa analisar o trafego

Mas no meio de tanto trafego como saber algo anormal? Geralmente ataques DDoS ocorrem em portas que usam amplificação, como mencionado no nosso artigo sobre o que é DDoS, podemos citar de exemplo o NTP ou SSDP. Ao avaliar que existe um trafego maior (geralmente com muito pacotes e muita banda de varias origens diferentes) para um IP especifico você pode passar para a próxima etapa.

• Use a Blackhole – RTBH

A Blackhole ou RTBH – Remote Triggered Blackhole é a tecnica onde literalmente enviamos um IP para o “buraco negro” e esse IP para de funcionar tanto em sua rede como na Internet assim conseguindo interromper o Ataque. Atraves de um anuncio BGP é possivel fazer que o IP pare de funcionar e seja enviado para suas operadoras informando que aquele IP não deve receber trafego.

A Blackhole resolve o problema o problema em ataques direcionado há 1 ou poucos IP’s, mas caso o ataque seja direcionado a muitos IP’s a Blackhole não se torna efetiva por conta do numero máximo de prefixos anunciados na sessão BGP.

Se você quiser saber mais sobre Blackhole confira nosso artigo!

Prós:

• Facilmente configurado
• Amplo suporte (todos os roteadores suportam)
• Ataque é interrompido rapidamente

Contras:

– O IP irá parar de funcionar totalmente

– Se caso o ataque seja direcionado a vários IP’s pode ser um problema maior

A Blackhole é funcional mas até certo ponto somente, em ataques maiores ou se os ataques foram insistentes e as técnicas mudarem atacando varios ela não suprirá a sua demanda

• Use um Link de Mitigação ou Scrubbing Center

Quando os ataques mudam e começam a atacar vários IP’s a técnica de Blackhole não irá suprir a demanda e para continuar operando é necessário que alguém faça a limpeza do Trafego de ataque do trafego verdadeiro, para isso existem empresas que vendem links de mitigação que são conhecidos como Scrubbing Center ou Anti-DDoS.

Nesse tipo de link você direciona o seu trafego de Download para eles através do BGP e eles irão utilizar de seus servidores, roteadores, appliances e técnicas para limpar o trafego de Ataque do trafego real.

Se você quiser saber mais sobre Link de Mitigação confira nosso artigo eles, lá mostramos com mais detalhes o funcionamento.

Prós:

• O(s) IP(s) atacados continuam funcionando
• Todo o problema de receber o ataque é transferido para essas empresas

Contras:

• Custo desse link
• Aumento de latência
• Configuração mais complexa, pois, exige uma engenharia de trafego no BGP quando ataque estiver ocorrendo

• Automatize tudo

Ataques DDoS irão ocorrer quando você menos espera, então criar a estrutura de proteção com automatização é extremamente necessário.

Para isso o Made4Flow possui nosso modulo de Anti-DDoS onde nosso ele pode tomar ação de enviar um IP para blackhole ou direcionar para a Mitigação quando detectar um ataque DDoS. Recebe os alertas via e-mail e tenha a tranquilidade que a ferramenta está funcionando por você tomando todas as ações

Se você gostou compartilhe essa publicação!

Nos próximos artigos vamos te contar como prevenir ataques, como configurar uma blackhole em roteadores Mikrotik, Cisco, Juniper ou Huawei e muitos mais informações sobre DDoS.

Até a próxima