Mecanismos de mitigação e ataques DDoS

Na Azion, a mitigação de ataques DDoS é realizada pelo DDoS Protection, um add-on do Edge Firewall. O DDoS Protection é projetado para mitigar os maiores e mais complexos ataques DDoS nas camadas de rede, transporte, apresentação e aplicação, sem limitações de largura de banda.

O DDoS Protection está integrado em mais de 100 edge locations na rede da Azion, com conexões a centros de scrubbing distribuídos para uma mitigação eficaz de ataques o mais próximo possível da origem do ataque. Como participante fundadora da iniciativa MANRS liderada pela Internet Society, a Azion aprimora a segurança do roteamento de rede usando filtros AS-path rigorosos e verificando tanto os anúncios de rede de clientes quanto internos para prevenir o IP spoofing.

Além disso, as práticas de Software-defined Networking (SDN) da Azion aproveitam a análise de pacotes em tempo real e algoritmos avançados para detecção de anomalias de tráfego, permitindo a mitigação automática de ataques como BGP hijacking e DDoS sem afetar a latência.

Dessa forma, ataques complexos ao seu conteúdo, aplicações e serviço de Domain Name System (DNS) podem ser prevenidos diretamente no edge, mesmo que você ainda esteja usando uma infraestrutura de origem on-premise ou em nuvem, uma vez que a mitigação será estendida ao edge, independentemente de sua rede ser IPv4, IPv6 ou híbrida.

Saiba mais sobre o DDoS Protection

Principais ataques DDoS

Os ataques DDoS podem ser classificados por:

  • Ataques baseados em volume: também conhecidos como ataques de inundação (flood attacks). Esse tipo de ataque usa uma forma de amplificação ou de requisições de malwares e worms potencialmente coordenadas por um botnet para criar grandes quantidades de tráfego e sobrecarregar um sistema.
  • Ataques de protocolo: também conhecidos como ataques de exaustão de estado, os ataques de protocolo concentram-se na exploração de vulnerabilidades em recursos de rede, sobrecarregando o processamento de serviços e infraestruturas críticas tais como de segurança e balanceamento de carga.

Esta é uma lista não exaustiva de alguns ataques DDoS que podem ser mitigados pela plataforma da Azion:

  • Bogons
  • Botnet attacks
  • Brute force attacks
  • Connection flood attacks
  • DNS flood (including well formed DNS Queries)
  • HTTP floods (including HTTP well formed POST / GET URL requests)
  • HTTP Slow Reads
  • ICMP Flood
  • IGMP Flood
  • IP Bogons
  • IP Fragmentation
  • Low and Slow attacks
  • MALFORMED ICMP Flood (Ping of death)
  • MIXED Floods (TCP+UDP, ICMP+UDP, etc.)
  • Nuke
  • OWASP top 10
  • Reflected ICMP / UDP
  • Slowloris
  • Smurf
  • Spoofing
  • TCP ACK Flood
  • TCP ACK-PSH Flood
  • TCP SYN-ACK Flood
  • TCP FIN Flood
  • TCP Out of state Flood
  • TCP RESET Flood
  • TCP SYN Flood
  • TCP Fragmentation
  • TCP Invalid
  • Teardrop
  • UDP Flood
  • Zero-day attacks

Alguns exemplos de técnicas de detecção e mitigação empregadas incluem:

  • Listas de permissão (allowlists), listas de bloqueio (blocklists) e greylists.
  • Bloqueio, redirecionamento ou dropping de acordo com cabeçalhos HTTP e geolocalização, entre outros parâmetros.
  • Bloqueio, redirecionamento ou dropping de acordo com reputação, listas de rede, etc.
  • Listas de botnets, provedores de nuvem, malware, proxies, etc.
  • Técnicas de mitigação e gerenciamento de bots.
  • Técnicas de desafio-resposta.
  • Captcha e recaptcha para identificar usuários humanos.
  • Manipulação de cookies.
  • Reputação dinâmica de IP, fingerprints, IP+ user agents, etc.
  • Fingerprinting.
  • Redirecionamento HTTP.
  • Descarte de pacotes malformados.
  • Restrição de acesso de origem apenas para endereços IP da Azion.
  • Análise de padrões e detecção de anomalias.
  • Bloqueio baseado em pontuação.
  • Token de segurança, JWT, etc.
  • Session timeout.
  • Bloqueio baseado em assinatura/fingerprint digital.
  • Limite de taxa simples (local) e avançado (global, contextual).
  • Regras de espera (a serem usadas em resposta a incidentes à medida que ocorrem).
  • Técnicas para prevenir ataques de força bruta.

Gerenciamento de DDoS

A Azion adota uma estratégia centrada em segurança para os produtos e serviços, provendo aos clientes uma segurança zero-trust programável e extensível, sempre segura e visível, com criptografia de ponta a ponta.

Os registros e o monitoramento dos ataques podem ser feitos por meio do Real-Time Events, Real-Time Metrics ou usando os conectores do Data Stream para integrar com SIEMs (Security Information and Event Management) e serviços de Big Data.

A Azion preza prioritariamente pela construção de algoritmos para detecção e bloqueio automático de ataques. Uma vez que uma ameaça é identificada, o Security Response Team (SRT) acompanha as ameaças do início ao fim e poderá vir a aplicar regras customizadas para mitigação de sofisticados ataques DDoS nas camadas de rede, transporte, apresentação e aplicação. Essas regras serão aplicadas instantaneamente pela arquitetura em tempo real do Edge Firewall, permitindo que você proteja seu conteúdo ou aplicação de forma rápida e eficiente.

Contribuidores