O Minimo que voce precisa saber sobre DDoS - Histórico de revisão

Victor Gabriel Netfacil: A palavra "apenas" repetida.

2024-06-05T13:36:07Z

A palavra "apenas" repetida.

Ayubio: Atualização da URL da palestra sobre DDoS anticompetitivo

2021-04-01T19:28:31Z

Atualização da URL da palestra sobre DDoS anticompetitivo

Fernando.frediani: Adicionado à categoria Roteamento

2019-12-23T02:01:54Z

Adicionado à categoria Roteamento

Fernando.frediani: Correção pequena de texto do artigo.

2019-12-23T01:58:21Z

Correção pequena de texto do artigo.

Fernando.frediani: Corrigido link de redirecionamento do Disclaimer.

2019-12-23T01:29:52Z

Corrigido link de redirecionamento do Disclaimer.

Daniel Damito em 15h52min de 17 de dezembro de 2019

2019-12-17T15:52:19Z

Daniel Damito em 15h48min de 17 de dezembro de 2019

2019-12-17T15:48:15Z

Daniel Damito em 17h44min de 16 de dezembro de 2019

2019-12-16T17:44:37Z

Daniel Damito em 17h38min de 16 de dezembro de 2019

2019-12-16T17:38:17Z

Daniel Damito em 17h36min de 16 de dezembro de 2019

2019-12-16T17:36:50Z

@@ Linha 67: / Linha 67: @@
 === Não seja você a origem de um ataque ===
-A grande maioria dos ataques são causados por amplificação, reflexão, spoofing ou as três coisas juntas. Estes ataques apenas acontecem apenas porque outras entidades na Internet não fizeram o seu dever de casa e permitiram que isto acontecesse.
+A grande maioria dos ataques são causados por amplificação, reflexão, spoofing ou as três coisas juntas. Estes ataques apenas acontecem porque outras entidades na Internet não fizeram o seu dever de casa e permitiram que isto acontecesse.
 Para que você não seja a '''origem''' de um ataque, é necessário que você:

@@ Linha 32: / Linha 32: @@
 === Motivações de um ataque DoS ===
 Nem sempre é possível determinar o motivo de ser vítima de um ataque, mas algumas causas costumam ser comuns e bastante recorrentes, como:
-* '''Ação anticompetitiva:''' muitas vezes o motivo do ataque é uma ação anticompetitiva de um concorrente de mercado, que busca indisponibilizar o serviço visando a perda de receitas da vítima ou perda de sua reputação. Durante a edição 32 do GTS foi ministrada [https://www.youtube.com/watch?v=CjTcI0-UApI esta palestra], que explica mais sobre o assunto.
+* '''Ação anticompetitiva:''' muitas vezes o motivo do ataque é uma ação anticompetitiva de um concorrente de mercado, que busca indisponibilizar o serviço visando a perda de receitas da vítima ou perda de sua reputação. Durante a edição 32 do GTS foi ministrada [https://www.youtube.com/watch?v=-5fs3IOZdYA esta palestra], que explica mais sobre o assunto.
 * '''Retaliação:''' há casos onde uma vítima de DoS causado por uma amplificação dentro da tua rede entende que você o está atacando propositalmente. Nestes casos, a vítima do ataque contrata serviços de ataque contra você para se vingar do mal causado.
 * '''Extorsão:''' é bastante comum empresas receberem ataques DoS e em seguida serem chantageadas a pagarem um valor, geralmente em bitcoin, para que os ataques sejam cessados.

← Edição anterior		Edição das 02h01min de 23 de dezembro de 2019
Linha 83:		Linha 83:

	Artigo originalmente escrito por [https://wiki.brasilpeeringforum.org/w/Usu%C3%A1rio:Daniel_Damito Daniel Damito].		Artigo originalmente escrito por [https://wiki.brasilpeeringforum.org/w/Usu%C3%A1rio:Daniel_Damito Daniel Damito].
−		+	[[Categoria:Roteamento]]
−	[[Categoria:~~Geral~~]]

@@ Linha 32: / Linha 32: @@
 === Motivações de um ataque DoS ===
 Nem sempre é possível determinar o motivo de ser vítima de um ataque, mas algumas causas costumam ser comuns e bastante recorrentes, como:
-* '''Ação anti-competitiva:''' muitas vezes o motivo do ataque é uma ação anti-competitiva de um concorrente de mercado, que busca indisponibilizar o serviço visando a perda de receitas da vítima ou perda de sua reputação. Durante a edição 32 do GTS foi ministrada [https://www.youtube.com/watch?v=CjTcI0-UApI esta palestra], que explica mais sobre o assunto.
+* '''Ação anticompetitiva:''' muitas vezes o motivo do ataque é uma ação anticompetitiva de um concorrente de mercado, que busca indisponibilizar o serviço visando a perda de receitas da vítima ou perda de sua reputação. Durante a edição 32 do GTS foi ministrada [https://www.youtube.com/watch?v=CjTcI0-UApI esta palestra], que explica mais sobre o assunto.
 * '''Retaliação:''' há casos onde uma vítima de DoS causado por uma amplificação dentro da tua rede entende que você o está atacando propositalmente. Nestes casos, a vítima do ataque contrata serviços de ataque contra você para se vingar do mal causado.
 * '''Extorsão:''' é bastante comum empresas receberem ataques DoS e em seguida serem chantageadas a pagarem um valor, geralmente em bitcoin, para que os ataques sejam cessados.

@@ Linha 1: / Linha 1: @@
 === Introdução ===
-<u>[https://wiki.brasilpeeringforum.org/w/O_Minimo_que_voce_precisa_saber_sobre_DDoS?venotify=created#Coisas_que_voc.C3.AA_N.C3.83O_deve_fazer_para_mitigar_ataques_DoS Disclaimer: se você não estiver disposto a ler este artigo inteiro, ao menos clique aqui e leia este capítulo, que diz o que você '''NÃO''' deve fazer!]</u>
+<u>[https://wiki.brasilpeeringforum.org/w/O_Minimo_que_voce_precisa_saber_sobre_DDoS#Coisas_que_voc.C3.AA_N.C3.83O_deve_fazer_para_mitigar_ataques_DoS Disclaimer: se você não estiver disposto a ler este artigo inteiro, ao menos clique aqui e leia este capítulo, que diz o que você '''NÃO''' deve fazer!]</u>
 Os ataques de negação de serviço consistem no envio massivo de pacotes não solicitados em alta volumetria contra algum dispositivo ou uma rede conectada à internet. Quando isto ocorre, a vítima do ataque tem seus recursos computacionais ou links de Internet total ou parcialmente saturados, não conseguindo processar os pacotes legítimos. Como consequência, o serviço torna-se indisponível ou degradado.

@@ Linha 54: / Linha 54: @@
 * '''Apenas contrate upstreams que possuam suporte à blackhole:''' jamais contrate um fornecedor de link IP que não tenha suporte funcional à communities de blackhole. Caso seus upstreams atuais não tenham, sinto-lhe em dizer que você está fadado à sucumbir no primeiro ataque que receber.
-* '''Mantenha o IPv6 em dia:''' durante um ataque severo em IPv4, a única alternativa para continuar operando pode ser deixar de anunciar seu bloco IPv4 para a Internet e navegar com NAT através de outros IPs. O impacto na navegação dos usuários será grande, obviamente, mas tendo IPv6 trabalhando em paralelo com o IPv4 diminuirá bastante as queixas de problemas.
+* '''Mantenha o IPv6 em dia:''' durante um ataque severo em IPv4, a única alternativa para continuar operando pode ser deixar de anunciar alguns de seus blocos IPv4 para a Internet e mantê-lo apenas para Peerings privados e CDNs. O impacto na navegação de centenas de usuários será grande, obviamente, mas tendo IPv6 trabalhando em paralelo com o IPv4 diminuirá bastante as queixas de problemas.
 * '''Tenha um sistema de blackhole automatizado:''' tenha um sistema de blackhole automatizado, como Wanguard ou Fastnetmon, que analisa o tráfego de sua rede constantemente e anuncia os IPs sob ataque para a blackhole de seus upstreams. Caso você não possua isso de forma automatizada, o seu tempo de reação pode ser demasiadamente alto, fazendo até com que você não consiga acessar o equipamento para realizar esta ação manualmente.
 * '''Mantenha uma boa relação com seus concorrentes:''' seus concorrentes não devem ser seus inimigos. Você deve se esforçar para manter uma boa relação com eles, inclusive parcerias se possível. Tendo uma boa relação e deixando claro que sua intenção não é prejudicá-los, você certamente diminuirá as chances de receber um ataque por ações anticompetitivas.
@@ Linha 60: / Linha 60: @@
 # O que fazer quando o IP de um assinante for atacado e estiver em blackhole? Trocar seu IP ou deixá-lo indisponível por um tempo? Se a resposta for trocar seu IP, quais IPs serão usados para este fim?
 # O que fazer se o IP de todos os seus DNS's ficarem indisponíveis? Existe outro DNS não divulgado, mas pronto e configurado, reservado para esta finalidade?
-# Caso todos seus IPs sejam atacados e você anuncie eles para a blackhole, terminará de concretizar o ataque. Você possui outros IPs fora do alvo do ataque para contingência? Utilizará um NAT genérico para navegação na Internet? E os serviços que precisam ser acessados externamente: eles possuem IPv6?
+# Caso um bloco inteiro seja atacado e você anuncie eles para a blackhole, terminará de concretizar o ataque. Você possui outros IPs fora do alvo do ataque para contingência? Utilizará um NAT com estes outros blocos para navegação na Internet? E os serviços que precisam ser acessados externamente: eles possuem IPv6?
-# Se você possuir um clean pipe (mitigação em nuvem), quais são os limites de ataque e banda limpa contratados? Se este limite exceder, você pode operar no regime de 95 percentile?   Estas perguntas são apenas alguns exemplos, mas devem ser adaptadas à sua organização, levando em conta sua capacidade e peculiaridades. Recomendamos que isto seja devidamente documentado internamente e que todos os responsáveis pelo NOC saibam como operar durante uma situação de crise.
+# Se você possuir um serviço de mitigação em nuvem, quais são os limites de ataque e banda limpa contratados? Se este limite exceder, você pode operar no regime de 95 percentile?   Estas perguntas são apenas alguns exemplos, mas devem ser adaptadas à sua organização, levando em conta sua capacidade e peculiaridades. Recomendamos que isto seja devidamente documentado internamente e que todos os responsáveis pelo NOC saibam como operar durante uma situação de crise.
 * '''Teste periodicamente suas medidas de contingência:''' por mais que você tenha feito um plano de contingência, testado e validado seu funcionamento, você precisa testá-lo recorrentemente e corrigir eventuais falhas se necessário. Um upstream pode mudar sua community de blackhole, deixar de prover este recurso ou algum software de detecção automática pode deixar de funcionar sem que você saiba. Portanto, não é necessário apenas construir o plano, mas também testá-lo periodicamente.
-* '''Acionar a justiça:''' a grande maioria das empresas não toma nenhuma atitude no âmbito jurídico, trazendo uma grande sensação de impunidade para os atacantes. Recomendamos que sempre que for alvo de um ataque, contate um advogado e façam uma notícia crime. Baseado nisto, existe a possibilidade de que casos correlatos sejam associados e um criminoso seja encontrado ou ao menos investigado. Como podemos ver [https://www.youtube.com/watch?v=0z9bCEzi-JE&feature=youtu.be&t=28565 neste vídeo], a polícia federal sequer fica sabendo dos ataques que acontecem.
+* '''Acionar a justiça e autoridades policiais:''' a grande maioria das empresas não toma nenhuma atitude no âmbito jurídico, trazendo uma grande sensação de impunidade para os atacantes. Recomendamos que sempre que for alvo de um ataque, contate um advogado e façam uma notícia crime. Baseado nisto, existe a possibilidade de que casos correlatos sejam associados e um criminoso seja encontrado ou ao menos investigado. Como podemos ver [https://www.youtube.com/watch?v=0z9bCEzi-JE&feature=youtu.be&t=28565 neste vídeo], a polícia federal sequer fica sabendo dos ataques que acontecem.
-* '''Entenda que ataques causam efeitos colaterais, mesmo se mitigados:''' todo ataque de negação de serviço, ainda que mitigado, causará efeitos colaterais em sua rede. Estes efeitos colaterais podem variar em tipo ou intensidade, mas quase sempre acontecerão. Quanto melhor for o teu plano de contingência, mais você saberá lidar com estes efeitos colaterais ou contorná-los.
+* '''Entenda que ataques causam efeitos colaterais, mesmo se mitigados:''' todo ataque de negação de serviço, ainda que mitigado, causará efeitos colaterais em sua rede. Estes efeitos colaterais podem variar em tipo ou intensidade, mas quase sempre acontecerão. Um dos mais comuns é o aumento de latência ou perda de pacotes. Quanto melhor for o teu plano de contingência, mais você saberá lidar com estes efeitos colaterais ou contorná-los.
 === Não seja você a origem de um ataque ===

@@ Linha 44: / Linha 44: @@
 * '''Contratar serviços paralelos que não sejam de mitigação de ataques:''' existem diversos serviços de segurança de rede para sistemas autônomos. Mas a grande maioria destes serviços não tem qualquer relação com ataques. Alguns destes serviços oferecem sistemas de blacklists, onde você aprende centenas ou milhares de IPs maliciosos da Internet via BGP e deixa de enviar pacotes para estes endereços. Entenda que ataques de negação de serviço não dependem de (a) você responder ou não aos pacotes maliciosos ou (b) ter o IP em uso em sua rede. Ou seja, estes serviços de blacklists evitam que a comunicação dos IPs maliciosos em sua rede não seja bidirecional, evitando spams, bruteforces ou invasões à devices, <u>mas não evitam ataques de negação de serviço.</u>
 * '''Se vingar do suposto atacante:''' por mais que você desconfie ou tenha fortes evidências de quem está te atacando, tome nenhuma atitude contra esta empresa ou pessoa sem que tenha certeza absoluta de que ela é a culpada. Existem casos onde é montado um grande teatro para te fazer crer que o culpado de seus ataques é uma pessoa inocente, e nestes casos você irá iniciar uma guerra cibernética desnecessariamente.
 === O que fazer para se prevenir e/ou mitigar ataques DoS ===