Proteção DDOS (DDOS Protection)

Um ataque DDoS consiste em realizar um ataque simultaneamente de vários lugares ao mesmo tempo (de vários computadores). Esse ataque é realizado principalmente a partir de computadores sobre os quais o controle foi assumido, usando um software especial
Para o artigo completo em DDOS Protection ...

Mostrar filtro
Filtros de hospedagem
Host Me Host Filter

Sistema operacional

Espaço em disco

Memoria RAM

Tipo de disco

Núcleos de CPU

Ordenar


 

ddos

 

 

Ataques DDoS (chamados de negação de serviço distribuída, em tradução livre: uma negação de serviço distribuída) estão entre os ataques de hackers mais comuns, que são direcionados a sistemas de computador ou serviços de rede e são projetados para ocupar todos os recursos disponíveis e gratuitos a fim de impedir o funcionamento de todo o serviço na Internet (por exemplo, seu site e e-mail hospedado).

 

O que é um ataque DDoS?

 

Um ataque DDoS consiste em realizar um ataque simultaneamente de vários lugares ao mesmo tempo (de vários computadores). Esse ataque é realizado principalmente a partir de computadores sobre os quais o controle foi assumido, usando um software especial (por exemplo, bots e cavalos de Tróia). Isso significa que os proprietários desses computadores podem nem saber que seu computador, laptop ou outro dispositivo conectado à rede pode ser usado, sem o seu conhecimento, para conduzir um ataque DDoS.

 

Um ataque DDoS começa quando todos os computadores comprometidos começam a atacar o serviço ou sistema da Web da vítima simultaneamente. O alvo de um ataque DDoS é então inundado com falsas tentativas de usar os serviços (por exemplo, podem ser tentativas de chamar um site ou outras solicitações).

 

Por que um ataque DDoS está causando interrupções no serviço?

 

Cada tentativa de usar o serviço (por exemplo, uma tentativa de chamar um site) requer que o computador atacado aloque recursos apropriados para atender a esta solicitação (por exemplo, processador, memória, largura de banda da rede), o que, com um grande número de tais solicitações, leva a o esgotamento dos recursos disponíveis e, como consequência, a interrupção do funcionamento ou mesmo a suspensão do sistema atacado.

 

 

ddos

 

 

Como se proteger de ataques DDoS?

 

Os ataques DDoS são atualmente a ameaça mais provável para as empresas que operam na rede e suas consequências vão além da área de TI, mas também causam perdas financeiras e de imagem reais e mensuráveis. Ataques desse tipo estão em constante evolução e se tornam cada vez mais precisos. Seu objetivo é consumir todos os recursos disponíveis da infraestrutura de rede ou conexão à Internet.

 

Você pode encontrar ofertas de proteção contra ataques DDoS na Internet. Na maioria das vezes, a ativação dessa proteção contra ataques DDoS é feita alterando os registros DNS, que direcionarão todo o tráfego HTTP / HTTPS através da camada de filtragem, na qual a inspeção detalhada de cada pacote e consulta é realizada.

 

Então, algoritmos avançados, bem como regras definidas corretamente, filtram pacotes errôneos e tentativas de ataque, de forma que apenas o tráfego puro vá para o seu servidor. As empresas que se protegem contra ataques DDoS têm localizações em diferentes partes do mundo, graças às quais podem bloquear efetivamente os ataques na origem, bem como fornecer dados estáticos do data center mais próximo, reduzindo assim o tempo de carregamento da página.

 

Ataque DDoS e chantagem é crime

 

A ameaça de um ataque DDoS às vezes é usada para chantagear empresas, por exemplo, sites de leilões, corretoras e assemelhados, onde a interrupção do sistema de transações se traduz em perdas financeiras diretas para a empresa e seus clientes. Nesses casos, as pessoas por trás do ataque exigem um resgate para cancelar ou interromper o ataque. Essa chantagem é um crime.

 

 

What-is-a-DDoS-attack

 

 

Como se proteger de ataques DoS / DDoS

 

Em termos simples, os ataques DoS são uma forma de atividade mal-intencionada que visa trazer um sistema de computador ao ponto em que ele não pode servir a usuários legítimos ou executar suas funções pretendidas corretamente. Erros no software (software) ou carga excessiva no canal da rede ou no sistema como um todo geralmente levam a uma condição de "negação de serviço". Como resultado, o software, ou todo o sistema operacional da máquina, "trava" ou fica em um estado de "loop". E isso ameaça com tempo de inatividade, perda de visitantes / clientes e perdas.

 

Anatomia de um ataque DoS

 

Os ataques DoS são classificados como locais e remotos. Os exploits locais incluem vários exploits, fork bombs e programas que abrem um milhão de arquivos a cada vez ou executam um algoritmo circular que consome memória e recursos do processador. Não vamos insistir em tudo isso. Vamos examinar mais de perto os ataques DoS remotos. Eles são divididos em dois tipos:


  1. Exploração remota de bugs de software para torná-lo inoperante.


  1. Flood - enviar um grande número de pacotes sem sentido (com menos sentido) para o endereço da vítima. O alvo da inundação pode ser um canal de comunicação ou recursos da máquina. No primeiro caso, o fluxo de pacotes ocupa toda a largura de banda e não dá à máquina atacada a capacidade de processar solicitações legítimas. No segundo, os recursos da máquina são capturados por chamadas repetidas e muito frequentes para qualquer serviço que execute uma operação complexa e que consuma muitos recursos. Pode ser, por exemplo, uma longa chamada para um dos componentes ativos (script) do servidor web. O servidor gasta todos os recursos da máquina no processamento das solicitações do invasor e os usuários têm que esperar.

 

Na versão tradicional (um atacante - uma vítima), apenas o primeiro tipo de ataque agora é eficaz. O dilúvio clássico é inútil. Só porque com a largura de banda dos servidores de hoje, o nível de poder de computação e o uso generalizado de várias técnicas anti-DoS no software (por exemplo, atrasos quando o mesmo cliente executa repetidamente as mesmas ações), o invasor se transforma em um mosquito irritante que é não foi capaz de infligir nem houve nenhum dano.

 

Mas se houver centenas, milhares ou mesmo centenas de milhares desses mosquitos, eles podem facilmente colocar o servidor em suas omoplatas. A multidão é uma força terrível não só na vida, mas também no mundo da informática. Um ataque de negação de serviço distribuído (DDoS), geralmente realizado usando muitos hosts zombified, pode desligar até mesmo o servidor mais difícil do mundo externo.

 

Métodos de controle

 

O perigo da maioria dos ataques DDoS está em sua transparência e "normalidade" absolutas. Afinal, se um erro de software sempre pode ser corrigido, o consumo total de recursos é uma ocorrência quase comum. Muitos administradores os enfrentam quando os recursos da máquina (largura de banda) tornam-se insuficientes ou o site sofre um efeito Slashdot (o twitter.com ficou indisponível minutos após a primeira notícia da morte de Michael Jackson). E se você cortar o tráfego e os recursos para todos em uma fileira, você será salvo de DDoS, mas perderá uma boa metade de seus clientes.

 

 

What-is-a-DDoS-attack

 

 

Praticamente não há saída para essa situação, mas as consequências dos ataques DDoS e sua eficácia podem ser significativamente reduzidas com a configuração adequada do roteador, firewall e análise constante de anomalias no tráfego de rede. Na próxima parte do artigo, daremos uma olhada em:


  • maneiras de reconhecer um ataque DDoS incipiente;

  • métodos de lidar com tipos específicos de ataques DDoS;

  • conselhos gerais para ajudá-lo a se preparar para um ataque DoS e reduzir sua eficácia.

 

No final, a resposta será dada à pergunta: o que fazer quando o ataque DDoS começar.

 

Luta contra ataques de inundação

 

Portanto, existem dois tipos de ataques DoS / DDoS, e o mais comum deles é baseado na ideia de flooding, ou seja, inundar a vítima com uma grande quantidade de pacotes. Flood é diferente: inundação ICMP, inundação SYN, inundação UDP e inundação HTTP. Os bots DoS modernos podem usar todos esses tipos de ataques simultaneamente, portanto, você deve tomar cuidado com a proteção adequada contra cada um deles com antecedência. Um exemplo de como se defender contra os tipos de ataques mais comuns.

 

HTTP Flood

 

Um dos métodos de inundação mais difundidos hoje. Baseia-se no envio infinito de mensagens HTTP GET na porta 80 para carregar o servidor web de forma que ele seja incapaz de processar todas as outras solicitações. Freqüentemente, o alvo da inundação não é a raiz do servidor web, mas um dos scripts que executam tarefas que usam muitos recursos ou trabalham com o banco de dados. Em qualquer caso, um crescimento anormalmente rápido dos logs do servidor da web servirá como um indicador de um ataque que começou.

 

Os métodos para lidar com a inundação de HTTP incluem ajustar o servidor da web e o banco de dados para mitigar o impacto de um ataque, bem como filtrar bots DoS usando várias técnicas. Primeiro, você deve aumentar o número máximo de conexões com o banco de dados ao mesmo tempo. Em segundo lugar, instale o nginx leve e eficiente na frente do servidor da web Apache - ele armazenará as solicitações em cache e servirá estática. Esta é uma solução imprescindível que não só reduzirá o efeito dos ataques DoS, mas também permitirá que o servidor suporte cargas enormes.

 

Se necessário, você pode usar o módulo nginx, que limita o número de conexões simultâneas de um endereço. Scripts de uso intensivo de recursos podem ser protegidos de bots usando atrasos, botões "Clique em mim", configuração de cookies e outros truques destinados a verificar a "humanidade".

 

Dicas universais

 

Para não entrar em uma situação desesperadora durante o colapso de uma tempestade DDoS nos sistemas, você deve prepará-los cuidadosamente para tal situação:


  • Todos os servidores com acesso direto à rede externa devem estar preparados para uma reinicialização remota rápida e fácil. Uma grande vantagem será a presença de uma segunda interface de rede administrativa, por meio da qual você poderá acessar o servidor em caso de entupimento do canal principal.


  • O software usado no servidor deve estar sempre atualizado. Todos os buracos são corrigidos, as atualizações são instaladas (simples como um boot, conselho que muitos não seguem). Isso o protegerá de ataques DoS que exploram bugs nos serviços.


  • Todos os serviços de rede de escuta destinados ao uso administrativo devem ser ocultados pelo firewall de qualquer pessoa que não deva ter acesso a eles. Então, o invasor não será capaz de usá-los para ataques DoS ou ataques de força bruta.


  • Nas abordagens ao servidor (o roteador mais próximo), deve ser instalado um sistema de análise de tráfego, que permitirá conhecer em tempo hábil sobre um ataque em andamento e tomar as medidas oportunas para evitá-lo.

 

Ressalta-se que todas as técnicas visam reduzir a eficácia dos ataques DDoS, que visam ao esgotamento dos recursos da máquina. É quase impossível se defender de uma inundação que entope o canal de entulho, e a única forma correta, mas nem sempre viável de lutar, é "privar o ataque de sentido". Se você tem um canal realmente amplo à sua disposição que permite facilmente o tráfego de um pequeno botnet, considere que seu servidor está protegido contra 90% dos ataques.

 

Existe uma defesa mais sofisticada. Baseia-se na organização de uma rede de computadores distribuída, que inclui muitos servidores redundantes conectados a diferentes backbones. Quando a capacidade de computação ou largura de banda do canal se esgota, todos os novos clientes são redirecionados para outro servidor ou gradualmente. "

 

Outra solução mais ou menos eficaz é comprar sistemas de hardware. Trabalhando em conjunto, eles podem suprimir um ataque incipiente, mas, como a maioria das outras soluções baseadas no aprendizado e na análise de estado, eles falham.

 

Parece ter começado. O que fazer?

 

Antes do início imediato do ataque, os bots "aquecem", aumentando gradativamente o fluxo de pacotes para a máquina atacada. É importante aproveitar o momento e começar a agir. O monitoramento constante do roteador conectado à rede externa ajudará nisso. No servidor vítima, você pode determinar o início do ataque por meio dos meios disponíveis.