Mecanismos de mitigação e ataques DDoS

A plataforma de Edge da Azion conta com mecanismos nativos ou programáveis de detecção e bloqueio automatizado de ameaças, passíveis de serem integrados a serviços de segurança e bases de inteligências de terceiros para uma proteção completa e de baixa latência. Dessa forma, ataques complexos em seus conteúdos, aplicações e serviço de DNS podem ser evitados diretamente no edge, mesmo que você ainda utilize uma infraestrutura de origem on-premise ou em cloud, uma vez que a mitigação será estendida para o edge independentemente de sua rede ser ipv4, ipv6 ou híbrida.

A proteção DDoS é integrada em cada uma das nossas edge locations e também está conectada a múltiplos centros de mitigação em todo o mundo para efetiva mitigação o mais próximo da origem do ataque. Como participante fundador da iniciativa MANRS, liderada pela Internet Society, fortalecemos a segurança do roteamento de rede utilizando filtros de AS-path rigorosos, aplicando, assim, a devida diligência na verificação de anúncios de clientes, bem como na de nossos próprios anúncios, além de realizarmos a validação de endereços de origem para redes de clientes, usuários finais e infraestrutura para evitar falsificação – spoofing – de endereços IP.

Com tais práticas de roteamento de rede baseado em software (SDN Routing), associadas a análise de pacotes de rede em tempo real nas edges, com algoritmos de análise de anomalias e assinaturas de tráfego para mitigação automática de ataques, assim como de algoritmos de mais alto nível para a detecção e mitigação dos mais complexos e variados tipos de ataques em tempo real, neutralizamos ameaças de sequestro BGP (BGP Hijack), ataques de negação de serviços (DoS e DDoS) sem impactar na latência de entrega.

A proteção DDoS cobre todos os produtos e serviços, incluindo o serviço de DNS da Azion, provendo assim segurança e disponibilidade também para a resolução de endereços.

Em um melhor esforço de enumerar de forma não exaustiva alguns ataques passíveis de mitigação, começamos por classificar os ataques DDoS:

Ataques baseados em volume: também conhecidos como ataques de inundação, esse tipo de ataque usa uma forma de amplificação ou de requisições de malwares e worms potencialmente coordenadas por um botnet para criar grandes quantidades de tráfego e sobrecarregar um sistema.

Ataques de protocolo: também conhecidos como ataques de exaustão de estado, os ataques de protocolo concentram-se na exploração de vulnerabilidades em recursos de rede, sobrecarregando o processamento de serviços e infraestruturas críticas tais como de segurança e balanceamento de carga.

Em um melhor esforço, enumeramos abaixo de forma não exaustiva alguns ataques DDoS passíveis de mitigação com a Azion:

  • Bogons
  • Botnet attacks
  • Brute force attacks
  • Connection flood attacks
  • DNS flood (including well formed DNS Queries)
  • HTTP floods (including HTTP well formed POST / GET URL requests)
  • HTTP Slow Reads
  • ICMP Flood
  • IGMP Flood
  • IP Bogons
  • IP Fragmentation
  • Low and Slow attacks
  • MALFORMED ICMP Flood (Ping of death)
  • MIXED Floods (TCP+UDP, ICMP+UDP, etc.)
  • Nuke
  • OWASP top 10
  • Reflected ICMP / UDP
  • Slowloris
  • Smurf
  • Spoofing
  • TCP ACK Flood
  • TCP ACK-PSH Flood
  • TCP SYN-ACK Flood
  • TCP FIN Flood
  • TCP Out of state Flood
  • TCP RESET Flood
  • TCP SYN Flood
  • TCP Fragmentation
  • TCP Invalid
  • Teardrop
  • UDP Flood
  • Zero-day attacks

Como exemplo de técnicas de detecção e mitigação empregadas, sem intenção de esgotar o assunto, podemos citar:

  • análise de padrões e detecção de anomalias;
  • allowlists (regras permitidas), blocklists (listas de bloqueio) e greylists (listas cinzas);
  • bloqueio baseado em assinaturas / fingerprints;
  • bloqueio baseado em score;
  • bloqueio, redirecionamento ou descarte (drop) de acordo com headers HTTP, geolocalização, entre outros parâmetros;
  • bloqueio, redirecionamento ou descarte (drop) de acordo com reputação, network lists, etc;
  • captcha e recaptcha para identificação de usuários humanos e descarte de pacotes mal formados;
  • fingerprinting;
  • network lists de botnets, cloud providers, malwares, proxies, etc;
  • proteção contra adulteração (cookie tampering);
  • rate limit (limite de taxa de acessos) simples (local) e avançada (global, contextual);
  • regras em standby ( para serem utilizadas em resposta a incidentes à medida que eles acontecem);
  • redirecionamento HTTP;
  • reputação dinâmica de IPs, fingerprints, IP+user agents, etc;
  • restrição de acesso na origem apenas para endereços IP’s da Azion;
  • técnicas de mitigação e gestão de bots;
  • técnicas de prevenção contra ataques de brute force;
  • técnicas desafio-respostatimeout de sessõestokens de segurança (security token, JWT, etc).

Os registros e o monitoramento dos ataques podem ser feitos por meio do Real-Time Metrics da Azion ou por um grande número de SIEMs (Security Information and Event Management). Além disso, contam com serviços de Big Data conhecidos de mercado, que podem ser facilmente integrados à Azion.

A Azion adota uma estratégia centrada em segurança em nossos produtos e serviços, provendo aos clientes uma segurança zero-trust programável e extensível, sempre segura e visível, com criptografia de ponta a ponta.

Prezamos prioritariamente pela construção de algoritmos para detecção e bloqueio automático de ataques. Uma vez que uma ameaça é identificada, nosso Security Response Team acompanha as ameaças do início ao fim e poderá vir a aplicar regras customizadas para mitigação de sofisticados ataques das camadas de rede e transporte. Essas regras serão aplicadas instantaneamente pela arquitetura de tempo real da plataforma de Edge da Azion, permitindo a proteção rápida e eficiente de seu conteúdo ou aplicação. Assim sendo, construímos e suportamos, em parceria com nossos clientes, mecanismos eficientes e eficazes de mitigação de ataques.

Contribuidores