Desde o início da pandemia da COVID-19, em 2020, temos enfrentado um aumento progressivo nos tipos, no tamanho e na agressividade dos ataques DDoS. Considerando sua diversidade de formas e seu amplo alcance (estendido, basicamente, a qualquer empresa ou entidade que tenha uma presença online), este post explica como o DDoS Protection da Azion protege contra os principais tipos de ataques para evitar grandes perdas financeiras e danos à imagem da sua empresa.
O DDoS Protection da Azion é integrado à nossa plataforma de edge para prevenir e mitigar ataques DDoS provenientes de qualquer lugar do mundo 24 horas por dia, sete dias por semana. Com o DDoS Protection, nossos clientes têm a melhor opção de proteção de seus conteúdos e aplicações, pois ele detecta requisições maliciosas usando algoritmos avançados e técnicas modernas de roteamento que são executados na rede altamente distribuída da Azion. Como nossa rede é conectada a diversos centros de mitigação ao redor do mundo, conseguimos proteger nossos clientes contra ataques de larga escala, seja no nível de rede, seja no nível de aplicação, reduzindo o tempo de inatividade sem impactar a performance de seus serviços.
A seguir, demonstraremos as principais técnicas de mitigação de ataques DDoS presentes no mercado hoje e por que o DDoS Protection da Azion é a melhor solução para sua empresa.
Estratégias comuns para a mitigação de ataques DDoS
Como a segurança digital é uma prioridade para qualquer empresa que tenha uma presença online, e cada empresa tem suas particularidades e prioridades na hora de planejar a segurança de sua infraestrutura, de sua rede e de suas aplicações, existem diversas soluções para a mitigação de ataques DDoS. O que diferencia essas variadas soluções para bloqueio e prevenção de ataques são, entre outros elementos, as estratégias de monitoramento e algoritmos utilizados, as técnicas de roteamento e até mesmo o equipamento físico necessário. Abaixo, listamos as opções com maior presença no mercado atual, bem como suas vantagens e suas desvantagens.
Mitigação carrier-based
Esse tipo de solução (também conhecido como mitigação baseada em provedor) é comumente oferecido por ISPs (Internet Service Providers, Provedores de Serviço de Internet — ou, como comumente chamamos em português, operadoras de internet). Isso significa que, ao contratar um provedor de internet, você provavelmente terá uma mitigação carrier-based incluída. Essa solução realiza um monitoramento simples de tráfego que, ao identificar um volume suspeito de requisições, pode recusar acesso à página ou à aplicação do cliente.
No entanto, embora ter uma proteção incluída no seu serviço de acesso à internet possa ser vantajoso, a mitigação baseada em provedor apresenta diversas limitações que não podem ser ignoradas. Uma delas é a largura de banda limitada que normalmente é disponibilizada para esse serviço. Dessa forma, como os ataques DDoS normalmente são baseados em volumetria, caso você seja atacado por uma botnet grande o suficiente para congestionar o tráfego disponibilizado para mitigação pelo provedor, haverá uma negação de serviço de qualquer forma. Por outro lado, os equipamentos utilizados para essa mitigação comumente são os mais básicos do mercado, sem os recursos necessários para identificar e bloquear estratégias avançadas e inovadoras de ataque que surgem constantemente. Por fim, como os provedores são alvos frequentes de ataques DDoS massivos, a mitigação pode estar indisponível quando você mais precisar dela.
Mitigação baseada em CDN
Uma das grandes vantagens das proteções baseadas em CDN (Content Delivery Network) são a fácil escalabilidade e a largura de banda disponibilizada. Como as CDNs gerenciam redes de servidores distribuídos ao redor do mundo, normalmente não é um grande desafio absorver grandes volumes de requisições maliciosas, mantendo a aplicação ou a página do cliente disponível para os acessos legítimos.
No entanto, as soluções contra DDoS baseadas em CDN normalmente são restritas à volumetria, não sendo efetivas contra ataques mais inteligentes ou não-volumétricos. Além disso, como os volumes de ataques são imprevisíveis, isso pode gerar um custo desnecessariamente alto e não planejado para o cliente, que paga pelo excesso de banda utilizado para manter seu conteúdo ativo durante a mitigação de um ataque.
Mitigação baseada em DNS
Assim como as soluções baseadas em CDN, aquelas baseadas em DNS (Domain Name Server) dispõem de grande largura de banda, controlando com facilidade ataques baseados nas camadas de transporte e de rede (camadas 3 e 4 da OSI). No entanto, ao confiar exclusivamente em uma solução baseada em DNS, você também deixa exposta sua camada de aplicação, que não é efetivamente protegida por esse tipo de proteção. Além disso, servidores DNS são vulneráveis a ataques inteligentes que usam um volume de tráfego baixo, que pode passar despercebido pelos algoritmos de detecção de volumetria em que se baseiam. Por fim, você também não conta com o suporte de especialistas, na eventualidade de um ataque mais complexo que possa exigir intervenção humana direta.
Mitigação fornecida por host
Como a proteção contra DDoS se torna cada vez mais essencial, empresas que oferecem serviços de hospedagem de páginas na internet têm cada vez mais oferecido esse serviço dentro de seus pacotes de funcionalidades. Desse modo, o cliente tem a vantagem de adquirir a hospedagem e a proteção de seu site em um só contrato.
Apesar disso, diferentes hosts optam por diferentes opções de mitigação contratadas de terceiros, que podem ser baseadas em CDN, DNS ou mesmo em provedor, carregando consigo as vulnerabilidades já discutidas sobre essas soluções. Além disso, caso sua página utilize dados ou funções hospedadas por outra companhia, estes não estarão protegidos pela proteção contratada, visto que ela só atua sobre os dados hospedados nesse host específico. Outro ponto de atenção é o fato de que a largura de banda do host é compartilhada por todos os clientes hospedados por ele, o que pode limitar o volume de ataques que você é capaz de absorver.
Mitigação in-house
Como temos demonstrado, dentre as diversas estratégias e técnicas utilizadas para a mitigação de ataques DDoS, todas têm seus pontos de atenção que devem ser considerados. Exatamente por isso, algumas empresas e provedores têm adotado uma estratégia que tem a grande vantagem de oferecer uma proteção robusta, confiável e estável: a mitigação in-house. Adquirindo hardware específico para a mitigação local de ataques DDoS, que hoje é distribuído por diversas companhias ao redor do mundo, você adquire também a possibilidade de controle completo de todo o processo de identificação, análise e bloqueio desse tipo de ataque.
No entanto, os valores desse tipo de solução são pouco convidativos, podendo ser necessárias algumas centenas de milhares de dólares para adquirir o equipamento básico. Além disso, ao transformar a proteção DDoS em uma atividade local, você necessariamente precisará empregar tempo e recursos na formação de profissionais capacitados para lidar com esses ataques que, vale lembrar, se transformam e inovam a cada dia. Considerando esses elementos, a proteção in-house também pode trazer complicações que não são ideais para o ambiente dinâmico e competitivo que é a presença online de uma empresa.
Como o DDoS Protection da Azion funciona?
No cenário apresentado, a mitigação de ataques no edge oferecida pela Azion desponta com vantagens inquestionáveis sobre as opções atualmente disponíveis no mercado. Para começar, antes de discutir mais detalhadamente os algoritmos e técnicas utilizados por nosso DDoS Protection, é importante destacar que a mitigação de qualquer tipo de ataque volumétrico é intrínseca à estrutura de nossa rede. Nesta seção, nós mostraremos o porquê.
Um backbone altamente redundante
Como você pode verificar neste artigo, uma das grandes vantagens de uma plataforma de edge computing é sua estrutura (ou backbone, o termo técnico em inglês) altamente distribuída. Isso significa que, contrariamente às soluções oferecidas na cloud, nossa plataforma e nosso processamento são descentralizados, com uma rede distribuída em mais de 100 edge locations no mundo todo.
Por esse motivo, a própria estrutura de nossa rede já impossibilita a consolidação de um ataque DDoS. Como o fundamento desse tipo de ataque é a concentração de grandes volumes de requisições em um único servidor, um ataque DDoS não consegue ser plenamente efetivo na plataforma da Azion.
Pense da seguinte maneira: ao acessar uma aplicação ou um conteúdo disponível na plataforma da Azion, um usuário será direcionado, por meio do nosso routing inteligente, a uma edge location que esteja geograficamente próxima e habilitada a entregar esse conteúdo com a melhor experiência no que diz respeito à velocidade e à qualidade da conexão. Quando essa edge location identifica um volume ou comportamento suspeito de requisições, todo o tráfego concentrado nela passa imediatamente pelo nosso processo avançado de mitigação (descrito detalhadamente mais abaixo, na seção “Técnicas avançadas de packet scrubbing e roteamento”), que possibilita que o tráfego legítimo continue a ser atendido enquanto as requisições maliciosas são automaticamente bloqueadas. Além disso, nosso sistema de roteamento inteligente continua trabalhando para que todas as requisições legítimas sejam sempre direcionadas à edge location que possa entregar o conteúdo com a melhor qualidade e a maior velocidade, sem que qualquer degradação de serviço seja causada pelo ataque em curso.
Na ilustração abaixo, você pode ver uma representação visual de como esse processo ocorre:
Técnicas avançadas de packet scrubbing e roteamento
Além de oferecer uma infraestrutura que, por padrão, protege seus conteúdos contra ataques DDoS baseados em volumetria, a Azion também investe nas mais modernas técnicas de packet scrubbing e de roteamento inteligente para garantir que nossos clientes não serão afetados por esses ataques, sejam eles direcionados às camadas de transporte e de rede, sejam direcionados diretamente à camada de aplicação. Para identificar um ataque e manter o tráfego legítimo, nosso DDoS Protection executa os seguintes passos:
- Primeiramente, é realizada uma filtragem de borda que identifica IPs suspeitos, bots conhecidos e hosts que possam ter sido infectados por meio de Access Control Lists;
- Utilizando a técnica de DPI (Deep Packet Inspection) e algoritmos de challenge-response progressivos, é realizada uma verificação de protocolos, para garantir que todas as requisições atendam aos padrões estabelecidos em nossa rede;
- Caso as requisições tenham sido aprovadas nos dois primeiros estágios de verificação, elas passam por uma nova filtragem, adaptável, que combina uma análise estatística (para constatar número incomum de pacotes ou altas taxas de tráfego de clientes-zumbi) com a verificação de anomalias (por meio de fluxos auto-adaptativos que investigam protocolos e redes de origem dos dados recebidos e os comparam com tráfego legítimo e tráfego suspeito identificados no passado). Nesse estágio, uma amostragem significativa dos packets recebidos passa por análise detalhada para verificar se oferecem alguma ameaça à camada de aplicação;
- O quarto passo também consiste em uma filtragem da camada de aplicação, verificando se as requisições feitas correspondem ao comportamento normalmente esperado pela aplicação em questão.
- Em seguida, há também uma verificação de conteúdo, que detecta padrões para identificar comportamentos incomuns do tráfego recebido.
- Ao final de todos esses procedimentos, também é aplicada uma limitação de taxa de transferência, que monitora e adapta como a largura de banda será utilizada durante a eventualidade de um ataque.
Com esses seis procedimentos automáticos e altamente redundantes, o DDoS Protection instaura uma política de defense-in-depth que, por um lado, protege o funcionamento da aplicação e a entrega de conteúdo do cliente em todas as suas instâncias, enquanto também diminui o número de falsos-positivos, evitando que o tráfego legítimo seja bloqueado, o que é comum em diversas técnicas de mitigação de DDoS e também pode trazer danos à imagem e aos rendimentos de sua empresa.
Acesso ao DDoS Protection
Ao utilizar a plataforma da Azion, você automaticamente se beneficia do nosso DDoS Protection sem custos adicionais. Assim, você conta com mitigação always-on, que monitora continuamente o fluxo de rede para detectar e bloquear o tráfego malicioso em tempo real, sem impacto para suas aplicações.
Além disso, você também conta com detecção avançada, inspecionando fluxos de rede, bem como monitorando cada camada de aplicação para seus recursos entregues pela Azion que utilizam o Azion WAF e Azion Edge Firewall. Dessa forma, você se protege contra ataques como HTTP floods, HTTP Slow Reads, DNS query floods, SYN/ACK Flood e muitos outros, além de contar com completa visibilidade de ataques de aplicação pelo Real-Time Manager ou API para monitorar a frequência e o volume de ataques.
Proteção, alta performance e flexibilidade no edge
Como você pôde ver neste artigo, a proteção contra ataques DDoS é fundamental para manter uma boa imagem para sua empresa, bem como para evitar perdas desnecessárias de receitas — mas a Azion te oferece muito mais do que isso.
Nossa plataforma de alta performance disponibiliza toda a infraestrutura e a expertise necessárias para criar, proteger, entregar e observar no edge, com uma rede de baixíssima latência apenas possibilitada ao entregar o conteúdo o mais próximo possível do cliente. Com a Azion, você tem liberdade e apoio para criar suas aplicações mais rapidamente utilizando nossa extensa biblioteca de funções no Edge Functions; a segurança de proteger todas as camadas de seus sistemas com produtos como o Edge Firewall, o WAF e o DDoS Protection; e os insights necessários oferecidos pela observação em tempo real por meio dos dados coletados e processados pelo Data Stream, o Edge Pulse e o Real-Time Metrics, por exemplo. Além disso, a Azion garante 100% de disponibilidade para suas aplicações e serviços, garantida pelo nosso SLA (Service Level Agreement).
O DDoS Protection oferece a melhor solução contra ataques DDoS de todos os tipos
Neste post, demonstramos a importância de estar efetivamente protegido contra os ataques DDoS e as principais técnicas utilizadas para sua mitigação. A Azion utiliza os recursos de ponta apenas disponíveis no edge para realizar algoritmos avançados e velozes de packet scrubbing associados a técnicas de roteamento inteligente a fim de oferecer a seus clientes a maior segurança e confiabilidade para suas aplicações.
Você quer conhecer um pouco mais sobre nossas soluções de proteção? Leia mais sobre nosso DDoS Protection, o WAF e o Edge Firewall, que mantêm toda a sua rede segura contra os mais avançados e recentes ataques (inclusive aqueles que ainda não foram criados). Em nossos casos de sucesso, você pode ver como nosso stack de proteção beneficiou grandes clientes, como o Magalu e a Dafiti. E você também pode falar com um de nossos especialistas para conhecer mais detalhes de nossos produtos e entender por que você deve adotar o DDoS Protection hoje mesmo!