Os ataques DDoS ocorrem pela exploração de vulnerabilidades nas diferentes camadas do Stack TCP/IP ou pelo abuso da capacidade da rede para lidar com grandes volumes de tráfego. Razão pela qual, é importante implementar uma proteção integral na organização.
Do LACNIC CSIRT compartilhamos com a comunidade várias ações que podem complementar uma solução de DDoS e proteger servidores e redes.
Vamos explorar boas práticas e técnicas existentes para a mitigação de ataques de DDoS, que podem ser complementadas com soluções anti-DDoS, comerciais ou de open source, descritas mais adiante.
Boas práticas e técnicas de mitigação de ataques. Nesta primeira parte, descrevemos as principais ações que podem ser realizadas pela organização com o objetivo de prevenir ataques de DDOS (reduzir sua probabilidade de ocorrência e/ou minimizar seu impacto).
Em relação à configuração da rede e dos serviços para reduzir a probabilidade de ataques DDoS e fortalecer a infraestrutura contra esses ataques, é recomendável implementar (se possível): redundância e distribuição de carga; rate limiting; filtragem de tráfego; anycast routing; capacidade de sobrecarga; proteção em nível de protocolo e sistemas de detecção e resposta rápida. No documento publicado na web de I+D do LACNIC, é possível acessar em detalhe essas boas práticas e sugestões para implementá-las em suas redes.
Por sua vez, as técnicas de mitigação são úteis para moderar a afetação ou o impacto de um ataque. Nesse sentido, uma organização vítima de um ataque de DDoS verá o impacto minimizado se contar com ferramentas que detectam esse tipo de situação e controlam os ataques de DDoS ou se tiver um plano de mitigação para esse tipo de ataque.
Soluções Anti-DDoS existentes no mercado. No mercado, existem diferentes ferramentas anti-DDoS oferecidas por provedores e empresas. Há soluções comerciais e outras de código aberto. A escolha da melhor solução para cada organização depende de diversos fatores, como o orçamento, o nível de proteção necessário e a infraestrutura existente.
Embora em nosso documento sejam detalhadas mais amplamente as características e os benefícios de cada uma delas, podemos listar Cloudflare, Akamai, Amazon Web Services (AWS) Shield, Google Cloud Armor, Imperva Incapsula, Arbor Networks e F5 Networks como as mais utilizadas devido à sua eficácia e capacidade para lidar com grandes volumes de tráfego, além de sua facilidade de integração e uso.
No tocante às soluções de código aberto, vale a pena mencionar a Haproxy, a Gatekeeper e a FastNetMon, dentre outras. Essas ferramentas são valiosas para administradores de sistemas e desenvolvedores que buscam proteger suas aplicações e redes sem incorrer em grandes custos de licenciamento.
Finalmente, devemos mencionar que existem ISPs ou provedores de segurança que também oferecem aos seus clientes serviços de mitigação de DDoS. Esses serviços consistem em enviar à organização apenas o tráfego limpo após absorver o ataque, pois se supõe que possuem a inteligência necessária para detectar e descartar a maioria dos tipos de ataques DDoS. Esses serviços devem ser complementados com soluções de DNS e BGP para serem eficazes.
No LACNIC CSIRT, encorajamos as organizações a analisarem se possuem as medidas mencionadas acima ou, caso contrário, convidamos a adotá-las.
