Recomendações sobre Mitigação DDoS
Objetivo: ajudar você Provedor de Internet, a diminuir os impactos causados por ataques DDoS em sua infraestrutura. Seguir algumas boas práticas vão te ajudar nesse processo mas não fazem mágica. Achar que colocar regras de filtros de pacotes no seu router de borda vai te salvar, é um ledo engano e você vai descobrir isso da pior maneira possível. Então preste bem a atenção no que vou te passar nesse artigo.
Técnicas e objetivos
Em 2020 eu vivi e senti na pele ataques volumétricos, cheguei a receber ataques de 400Gbps durante 24h, 7 dias na semana e por 30 dias seguidos. O objetivo era saturar qualquer link e dar bastante trabalho para as nuvens de mitigação. Se somarmos isso com a falta de algumas coisas que poderíamos ter feito para proteção, antes que isso ocorresse, podem imaginar o caos que foi.
Em 2022 percebi uma nova abordagem desses criminosos, já que muitos provedores já estavam preparados com sistemas de detecção e nuvens de mitigação. O ataque deixou de ser absurdamente volumétrico e passou a ser o conhecido Hit-and-Run. Os ataques tem pouca volumetria e são rápidos. O objetivo desse ataque é colocar o máximo de seus prefixos /24 na mitigação e te causar problemas como:
- Estourar a sua capacidade de clean pipe e burst causando lentidão nos acessos à Internet. O Clean Pipe seria o seu tráfego já limpo e mitigado pela sua fornecedora da Nuvem de Mitigação. É como um link de trânsito IP contratado e por isso tem limitação.
- Te forçar a aumentar sua capacidade de clean pipe e burst, causando um certo prejuízo ao Provedor, já que não é um serviço barato.
- Todo prefixo mitigado causa efeitos colaterais para os clientes, não é perfeito porque não temos como testar os milhares serviços existentes na Internet e seu comportamento dentro da mitigação e por isso precisamos fazer ajustes. Isso causa, para o cliente que usa um serviço ainda não ajustado, a sensação de uma Internet com problemas.
Agora em 2023 começaram novos ataques em diversos Provedores pelo Brasil e a técnica escolhida ainda é a Hit-and-Run, resolvi escrever esse artigo para que você não espere acontecer contigo, fazer isso que vou colocar aqui durante eventos de DDoS é muito complicado e por isso temos que ser proativos nisso e não reativos.
Recomendações de prevenção
As recomendações abaixo são muito importantes tanto para você se proteger, quanto para que não façam de você um vetor de ataque para outra redes.
- Utilizar IPs privados (RFC1918) nas sessões BGP com seus fornecedores de trânsito IP, para se evitar ataques diretos que derrubem as sessões BGP, causando 100% de indisponibilidade da Internet.
- Use IPs privados (RFC1918) em toda a sua rede de Gerência, nos Ps, PEs, uPEs, onde for possível. Isso bloqueia ataques diretos a eles.
- Tenha equipamentos bem dimensionados e que não estejam operando quase no limite porque em eventos de DDoS, esses limites podem ser atingidos e causar a indisponibilidade da sua Operação.
- Anunciar seus prefixos IPv4 /24 para todo sistema de cache que tenha, como por exemplo: Google, Netflix, Facebook, Globo, etc. Os servidores de cache podem aliviar os clientes dos ataques e diminuir seu consumo de clean pipe. Se você ainda não tem um servidor de cache e tiver condições de ter, então peça. Você pode saber mais sobre isso nesse artigo: CDN Peering e PNI - Brasil
- PNIs confiáveis também podem ter seus /24 anunciados para eles, desde que sejam confiáveis. O PNI do Google, por exemplo, por vender serviço de cloud podem vir ataques por lá.
- Durante eventos de DDoS anunciar para o IX.br os /24 atacados somente para Peerings Confiáveis. Você terá que analisar os participantes do IX um a um, ver quais teriam conteúdos importantes, mas que não ofereçam possibilidade de vir ataques deles. Basta usar a community 65001:XXXXX. Um lugar onde você pode ver sobre essas communities: https://ix.br/route-server-and-commmunities
- Implantar e utilizar IPv6 na operação. O tráfego IPv6 não é vítima de ataques DDoS e todos os acessos em IPv6 não sofrem com eventos DDoS, desde que a capacidade dos links de trânsito IP e CPU dos ativos de rede, não tenham sido comprometidos com os ataques.
- Procure contratar Links de Trânsito IP que forneçam proteção DDoS. Isso pode ajudar também.
- Comunicar e orientar seu atendimento para explicar ao cliente o que está ocorrendo e o que a empresa está fazendo para mitigar isso. Interagir também nas Redes Sociais junto aos clientes que estão sofrendo com os ataques e explicar o ocorrido.
- Checar e eliminar os problemas de static loop na rede. Você pode ler sobre isso nesse meu artigo: Static Loop - um erro que pode matar seu ISP/ITP.
- Resolver problemas com Portas de Amplificação DDoS, Não seja também um vetor de ataques. Você pode ler sobre isso aqui: Portas de Amplificação DDoS e Botnets.
- Tenha seus próprios servidores de DNS Recursivos e não use o 8.8.8.8, 1.1.1.1 ou outro externo porque em eventos de DDoS você vai ter problemas. Você pode fazer o seu seguindo esse meu artigo: DNS Recursivo Anycast HyperLocal.
- Siga as Boas Práticas como se tonar um participante do MANRS ou pelo menos executar as 4 ações. Você pode ver um vídeo e documentação sobre, aqui no Youtube: https://www.youtube.com/watch?v=oahQkGx8urY
- Juntar as provas dos ataques DDoS, como gráficos e qualquer outro indício dos mesmos e registrar um BO (Boletim de Ocorrência) na Delegacia de Crimes Cibernéticos mais perto do Provedor ou através de registros online. Abaixo exemplos de links do Rio de Janeiro e outro do Rio Grande do Sul. Não deixe de fazer o BO e vamos contribuir para a que a nossa Polícia consiga fazer o trabalho dela. Se não relatarmos isso, nada será feito.
- Muito importante que você tenha um sistema de Mitigação DDoS e pelo menos uma Nuvem de Mitigação DDoS. Abaixo empresas especializadas em DDoS e que podem te ajudar em tudo que coloquei acima. Elas não estão me patrocinando, apenas conheço os profissionais excelentes que são e a seriedade no serviço deles.
Conclusão
Essas são apenas algumas dicas valiosas para se proteger de DDoS. Não fique achando que colocar um filtro de pacotes no seu router de borda, vai te salvar de um ataque DDoS, porque não vai. Além disso tudo que falei, existem muitas outras coisas que podemos fazer mas isso vou deixar para as empresas especializadas em DDoS trabalharem contigo e melhorar a sua vida durante esses eventos.
Autor: Marcelo Gondim