O objetivo de um ataque de negação de serviço distribuído (DDoS – Distributed Denial of Service Attacks) é sobrecarregar os recursos das aplicações e servidores, tornando-os sem resposta, ou lentos para os utilizadores genuínos; um ataque DDoS geralmente terá como alvo qualquer ponto final (endpoint) público que possa ser acedido pela Internet (ou seja, tenha um IP público).
Os três (3) tipos mais populares de ataque de negação de serviço distribuído (DDoS) são:
● Ataques Volumétricos (Volumetric Attacks): Os ataques volumétricos são ataques baseados em volume que inundam a rede com tráfego, sobrecarregando a largura de banda disponível e o tráfego legítimo não consegue passar; esse tipo de ataques são medidos em bits por segundo.
● Ataques de Protocolo (Protocol Attacks): Os ataques de protocolo tornam um alvo inacessível esgotando os recursos do servidor com solicitações de protocolo falsas que exploram pontos fracos nos protocolos da camada 3 do modelo OSI (Rede – Network) e da camada 4 (Transporte – Transport); esse tipo de ataques geralmente são medidos em pacotes por segundo.
● Ataques à Camada de Recursos Aplicacionais (Resource Application Layer Attacks): Os ataques visam pacotes de aplicações da Web, para interromper a transmissão de dados entre os anfitriões (hosts).
A proteção contra DDoS pode ser realizada utilizando uma, ou várias firewall de rede (em casos de redes On-Premises \ Private Cloud), ou no caso de recursos num Cloud Provider, utilizando os mecanismos adequados, como no caso do Microsoft Azure, utilizando o Azure DDoS Protection.
A Dataframe para proteção em casos de redes On-Premises \ Private Cloud, utiliza firewall de rede da Cisco ASA 55xx, ou os Draytek Vigor Firewall Router & VPN Concentrator.
No caso Microsoft Azure (Cloud Provider), pode usar o Azure DDoS Protection para permitir que você proteja seus dispositivos e aplicações (recursos), analisando o tráfego na sua rede e tomando as medidas apropriadas, em caso de tráfego suspeito. A proteção contra DDoS do Microsoft Azure possui dois (2) níveis:
● Básico: O nível de serviço básico é habilitado automaticamente, para cada propriedade no Azure, sem custo extra; como parte da plataforma Azure. A monitorização de tráfego está sempre ativa e a mitigação em tempo real de ataques mais comuns, fornecem as mesmas defesas que os serviços online da Microsoft.
● Padrão: O nível de serviço padrão oferece recursos extras de mitigação que são ajustados especificamente para recursos de rede virtual do Microsoft Azure; o DDoS Protection Standard é simples de habilitar e não requer alterações das aplicações. As políticas de proteção são ajustadas por meio de monitoramento de tráfego dedicado e algoritmos de aprendizagem (IA – Inteligência Artificial) de máquina. As políticas são aplicadas a endereços IP públicos, que estão associados a recursos implantados em redes virtuais, como Azure Load Balancer e o Application Gateway.
Data da última atualização: 24 de Agosto de 2022
Autor: Paulo Gameiro – Dataframe (General Manager)