Sobre DDoS

Ataques DDoS ou DOS são tipos de ataques que tem como objetivo que o seu servidor fique indisponível congestionando a ligação á sua maquina ou fazendo pedidos ao seu servidor até que o mesmo não tenha capacidade de resposta, o que se reflete em perdas de vendas em caso de lojas online ou visitantes ao seu site

O processo de mitigação deste tipo de ataques é bastante complexa e difícil de explicar a utilizadores comuns, sendo que durante os anos em que prestamos este tipo de serviços uma das maiores dificuldades tem sido explicar ao cliente o porque acontece, como um ataque se comporta e como o controlar, vamos tentar descrever os mesmos de uma forma bastante simples para que o cliente não caia no erro de "uma Firewall resolve"

Porque acontece?

Qualquer conteúdo que esteja disponível online é um possível alvo de um ataque DDoS, por norma os ataques são originados por concorrência ao seu negócio / projeto numa tentativa de que o mesmo fique indisponível, perdendo a credibilidade, ranking, originando difamação, etc

O que faz exatamente um ataque DDoS?

Vamos supor que a Internet é uma autoestrada, vários, acessos e o seu site/servidor se encontra no fim da autoestrada

Numa situação normal o transito circula dentro da normalidade, estando a autoestrada (rede) dimensionada para o transito, assim como todos os acessos

Quando é originado um ataque DDoS em cada acesso para autoestrada em questões de milissegundos aparecem milhões de carros em cada acesso, logo por mais rápido que todos os carros circulem haverá sempre congestionamento no transito, formando um funil e enquanto esses milhões de carros não chegarem ao seu destino ou for tomada alguma ação todo o acesso será lento ou chegando a parar por completo se no final da autoestrada encontrar um acidente (o seu servidor não teve capacidade de receber todas as viaturas)

Para gerir o transito na autoestrada utilizamos duas soluções, sendo uma delas sempre ativa e outra por reação, sendo aplicada cada uma das soluções mediante as necessidades especificas de cada cliente

Incluído com todos os nossos serviços fazermos uma gestão do tráfego com base em reação.

Todo o tráfego está a fluir normalmente, é detetado em algum dos acessos à autoestrada uma quantidade anormal de carros aplicamos em ~2 segundos uma cancela no acesso em que algo de anormal se passa, deixando os restantes acessos a fluir normalmente. Ao mesmo tempo que fechamos a cancela para o acesso com tráfego anormal abrimos um desvio para uma outra autoestrada onde se encontra uma enorme operação stop capaz de fazer uma revista a milhões de caros em simultâneo e só irá deixar passar as viaturas limpas.

Alguns minutos depois de o transito no acesso problemático voltar ao normal voltamos a abrir esse acesso e removemos o desvio

 

A solução com base em reação serve 90% dos nossos clientes, sendo o impacto por norma impercetível para o utilizador comum

Para clientes com necessidades especificas como serviços de voz, aplicações, bases de dados, etc, em que não poderá haver o risco de um dos acessos congestionar ou qualquer tráfego anormal causar alguma lentidão no serviço todo o transito terá de ser revistado a todo o momento

 

Porque ter duas soluções para fazer quase o mesmo?

Manter uma enorme operação stop 24/7/365 tem custos elevados que teríamos de passar ao cliente que não precisa, alem de os agentes terem ordens muito restritas quanto ao que poderá ou não passar e a que velocidade. Por exemplo um utilizador comum que eventualmente nunca irá ter problemas com DDoS pretende usufruir ao máximo da velocidade de download, tendo um controlo de velocidade iria estar a causar uma experiência menos boa do seu serviço, enquanto que um site com milhares de visitas ou aplicações de voz por exemplo a velocidade de download em si não importa mas sim que o serviço não tenha qualquer quebra nem degradação em situações de ataques.

Quão precisa é a nossa solução?

Pela complexidade do serviço que prestamos e a exigência dos nossos clientes ajustamos os nossos agentes com uma base diária, sendo a margem de erro mínima, à data que este texto foi escrito o maior ataque mitigado na nossa plataforma teve um pico máximo de 116Gbps nos nossos filtros e deixando um tráfego residual de 70Mbps

A solução de proteção DDoS por si só funciona numa base de tráfego genérica, sendo ainda possível o tratamento do tráfego residual em vários níveis

 

Firewall no core da nossa rede, em que trabalhamos sobre uma política de "default drop", sendo feita a configuração de portas e protocolos permitidos mediante as especificidades técnicas do cliente 

Firewall dedicada a ser instalada antes da(s) máquinas do cliente, utilizando como complemento à mitigação e firewall no core evita investimentos de milhares de euros em equipamentos e tráfego

Web Application Firewall, (Saiba mais)