Como combater ataques DDoS?


Como combater ataques DDoS?

Quando um mau agente lança um ataque à sua página web ou serviço, várias coisas acontecem na rede. Este guia orienta-o passo a passo no âmbito de cada ação levada a cabo durante a mitigação do ataque DDoS.

Stop_DDOS_step
Mitigating_normal_state

1.º passo: Estado normal (sem ataque)

No que se chama estado normal, os sites ou serviços estão plenamente disponíveis. Do ponto de vista operacional, a fim de estabelecer uma linha de base, é importante ter em conta o nível de tráfego de rede que chega aos seus serviços neste estado (por exemplo: largura de banda de rede em bps, pps, pedidos por segundo ou carga de infraestrutura).

Também é recomendável que se configurem regras especiais para a Edge Network Firewall, que serão ativadas automaticamente em caso de ataque. Essas regras podem ser usadas para fazer o offload dos iptables de um servidor, de modo a evitar saturar a sua ligação. Deve rever estas regras ocasionalmente.

Além disso, é aconselhável ter um painel de controlo que monitorize os seus serviços, não só do ponto de vista técnico, mas também do ponto de vista comercial. Isso pode ser útil quando estiver a ser atacado, para que esteja em condições de adotar o ponto de vista dos seus clientes.

2.º passo: Começa o ataque

Quando um ataque de negação de serviço distribuído é lançado a partir de um botnet de dispositivos coordenados, o primeiro lugar onde pode ser observado é num ponto de presença (PoP). É aqui que a OVHcloud se interliga com os routers dos outros operadores para aceder à Internet. A partir daí, o tráfego de ataque entra na nossa rede backbone global. Mas, graças à nossa elevadíssima capacidade de largura de banda, normalmente nenhuma ligação fica saturada.

De seguida, o ciberataque chega ao servidor, que começa a processá-lo. Os sinais de atividade invulgar incluem uma elevada utilização de recursos, um baixo desempenho de rede devido a um aumento do tráfego ou uma degradação do serviço. Paralelamente, a análise de tráfego da infraestrutura Anti-DDoS da OVHcloud deve detetar o ataque DDoS e desencadear a mitigação. Caso ainda não tenha acontecido, também se desencadeiam as regras da Edge Network Firewall, a fim de permitir o endereço IP. Se experiencia vários ataques curtos que fazem com que o VAC se ative constantemente, pode optar por adicionar um timeout mais longo para a mitigação, através da nossa REST API.

Se parte da sua infraestrutura estiver fora da rede da OVHcloud, poderá ter de utilizar ferramentas de terceiros para mitigar um ataque. Também pode tentar contactar o NOC para obter informações sobre ataques, aumentar a capacidade dos seus serviços, efetuar operações de limitação de velocidade ou ativar o botão «Estou a ser atacado», caso esteja disponível.

Mitigating_attack_starts
Mitigates_attack

3.º passo: O Anti-DDoS (VAC) mitiga o ataque

Quando um ataque é detetado, a mitigação tem início em poucos segundos. O tráfego de entrada do servidor é «aspirado» pelos nossos nós VAC. O ataque será então bloqueado sem qualquer limitação no que diz respeito ao volume ou à duração. O tráfego legítimo continua a fluir e a chegar ao servidor. Este processo chama-se «automitigação» e é completamente gerido pela OVHcloud. Receberá um aviso sobre o acontecimento (por e-mail). Também pode observar, enquanto analisa os pacotes de caminhos que vão para o seu servidor ou serviço (utilizando mtr ou traceroute), que surgirão «estágios VAC anti-DDoS».

4.º passo: O ataque DDoS chega ao fim

O lançamento de ataques DDoS é dispendioso e, se não for bem-sucedido, não é rentável. Um ataque típico dura de 10 a 12 minutos. O sistema anti-DDoS desativa-se automaticamente assim que um ataque chega ao fim ou após um tempo-limite predefinido, e permanece em modo de espera, pronto a defender-se contra o próximo ataque.

Mitigating_attack_end

Pronto para começar?

Crie uma conta e lance os seus serviços em minutos.

FAQ

Contra que tipo de ataques pode a Anti-DDoS Infrastructure defender-se?

A cibersegurança abrange uma vasta gama de ameaças. A nossa infraestrutura anti-DDoS responde às maiores delas: ataques distribuídos de negação de serviço, inundações de pacotes (incluindo inundações de syn), spoofing, ataques malformados ou de amplificação, etc. Infelizmente, não está em condições de filtrar sozinho a maioria destas ameaças, já que elas saturam a ligação de rede do seu servidor.