HostLoad

A análise do tráfego e deteção de ataques


Detectar o ataque



Para detetar um ataque, utilizamos o netflow que é enviado pelos routers e analisado pelos equipamentos Arbor PeakFlow. Cada router transmite um resumo de 1/2000 do tráfego que o atravessa regularmente. Os equipamentos PEakFlow analisam esses resumos e comparam-nos com as assinaturas dos ataques. Se a comparação é positiva, a mitigação entra em ação em alguns segundos.

As "assinaturas" analisadas baseiam-se no número de "pacotes por segundo" (pps, Kpps, Mpps, Gpps) ou "bytes por segundo" (bps, Kbps, Mbps, Gbps) alguns tipos de pacotes como:



Considerando que é necessário que alguns limites sejam ultrapassados e que apenas 1/2000 do tráfego real é analisado, a implementação da mitigação pode levar entre 15 e 120 segundos.





HostLoad

A mitigação do ataque DDoS



Bloquear o ataque, deixar passar o tráfego legítimo


A mitigação é um termo utilizado para designar os meios e as medidas implementadas para atenuar os efeitos negativos ligados a um risco. Para resistir aos ataques DDoS, a mitigação consiste em filtrar o tráfego não legítimo e aspirá-lo através do VAC, deixando passar todos os pacotes legítimos.


O VAC é composto por vários equipamentos em que cada um assegura uma função específica de forma a bloquear um ou vários tipos de ataques (DDoS, Flood, etc.). Em função do ataque, uma ou várias estratégias de defesas podem ser implementadas em cada um dos equipamentos que compõem o VAC.



Os componentes do VAC

Roteador
Principal
Roteador
Datacenter



As ações realizadas sobre Pré-Firewall:

  • Fragmento UDP;
  • Tamanho dos pacotes;
  • Autorização dos protocolos TCP, UDP, ICMP, GRE;
  • Bloqueio de todos os outros protocolos.


As ações realizadas sobre Firewall Network:

  • Autorizar/bloquear um IP ou uma subrede de IPs;
  • Autorizar/bloquear um protocolo:
    • IP (todos os protocolos);
    • TCP;
    • UDP;
    • ICMP;
    • GRE.
  • Autorizar/bloquear uma porta ou intervalo de portas TCP ou UDP;
  • Autorizar/bloquear os SYN/TCP;
  • Autorizar/bloquear todos os pacotes exceto SYN/TCP.


As ações realizadas sobre Tilera:

  • IP Header mal formado;
  • IP Checksum incorreto;
  • Checksum UDP incorreto;
  • Limitação ICMP;
  • Datagrama UDP mal fragmentado;
  • DNS Amp.


As ações realizadas sobre Arbor:

  • IP Header mal formado;
  • Fragmento incompleto;
  • IP Checksum incorreto;
  • Fragmento duplicado;
  • Fragmento demasiado longo;
  • Pacote IP / TCP / UDP / ICMP demasiado curto;
  • Checksum TCP/UDP incorreto;
  • Flags TCP inválidas;
  • Número de sequência inválido;
  • Deteção de zombie;
  • Autenticação TCP SYN;
  • Autenticação DNS;
  • Query DNS mal formada;
  • Limitação DNS.