Proteger aplicações web e infra-estruturas de servidor de ataques DDoS já não é uma escolha para as organizações que têm uma presença online. O advento dos serviços DDoS-for-hire efetivamente diminuiu a barra para aqueles capazes de executar um ataque, tornando todas as entidades web um alvo potencial.
Um ataque DDoS bem sucedido impacta negativamente a reputação de uma organização, além de prejudicar as relações existentes com os clientes. Perdas financeiras significativas podem chegar a $40.000 por hora para grandes empresas. Entidades menores podem enfrentar dezenas de milhares de dólares em prejuízos, enquanto que ataques mais longos e não mitigados têm o potencial de serem eventos de encerramento de negócios.
Falando de forma ampla, há várias abordagens para parar os ataques DDoS. As soluções mais comuns baseiam-se em métodos do tipo faça-você-mesmo (faça você mesmo), aparelhos de mitigação no local e soluções baseadas em nuvem fora do local.
Embora cada um ofereça seus próprios benefícios, sua eficácia geral na parada do DDoS é baseada em uma série de fatores. Estes incluem escalabilidade e capacidade de filtragem, custo e facilidade de integração, bem como facilidade de uso e compatibilidade de hospedagem.
|
Faça você mesmo |
On-Premise |
Off-Premise |
| CAPEX |
Nenhum |
Despesado |
Moderado |
| OPEX |
Mínimo |
Despesado |
Moderado |
| Método de implantação |
Em demanda |
Em demanda |
>
Em demanda
/ sempre sobre |
| Tempo para mitigação |
Significativo |
Significativo |
Moderar
/nenhuma |
| Scalabilidade |
Nenhum |
Limitado |
Virtualmente ilimitado |
| Filtragem |
Limitado |
Significativo |
Significativo |
| Facilidade de uso |
Complexo |
Moderar |
Muito fácil |
| Integração |
Complexo |
Moderar |
Fácil |
Compatibilidade com
Opções de alojamento |
Anything |
Awned e dedicado |
Anything |
Protecção DDoS
Protecção DDoS é amplamente considerada uma abordagem fraca para a mitigação DDoS. Em termos práticos, ela se baseia na definição de limites de tráfego estático (por exemplo, usando mod_evasive) e regras de lista negra de IP indiscriminada. É preferido principalmente por razões orçamentais e raramente considerado pelas empresas online.
Uma grande desvantagem das soluções DIY é que elas são frequentemente utilizadas como uma medida reactiva. Quase sempre, uma configuração é ajustada manualmente após uma onda de ataque inicial ter sido atingida. Enquanto tal solução pode parar ataques futuros similares, a primeira onda de sucesso é normalmente suficiente para causar horas de inatividade e outros problemas.
Além disso, os perpetradores podem facilmente modificar seus métodos, atacando a partir de fontes díspares e usando vetores diferentes. Isto mantém sua organização em uma posição defensiva, onde ela tem que implementar configurações adicionais repetidamente, enquanto simultaneamente tenta se recuperar de múltiplos eventos de inatividade. Isto pode continuar por dias de cada vez.
O verdadeiro problema com qualquer abordagem de bricolagem, no entanto, é que ela está sempre limitada pela largura de banda da rede, o que limita severamente a escalabilidade necessária para parar os ataques DDoS da camada de rede.
Com a maioria dos ataques registrando mais de 10Gbps e poucas organizações tendo mais de 10Gbps de estouro de uplink, a solução de bricolagem está quase sempre condenada a falhar.
Electrodomésticos no local
A abordagem no local à protecção DDoS utiliza dispositivos de hardware implantados dentro de uma rede, colocados em frente a servidores protegidos.
Tais dispositivos têm normalmente capacidades avançadas de filtragem de tráfego armado com uma combinação de geo-bloqueio, limitação de velocidade, reputação IP e identificação de assinaturas.
Os dispositivos de mitigação típicos podem ser utilizados eficazmente para filtrar o tráfego malicioso de entrada. Isto torna-os uma opção viável para parar ataques na camada de aplicação.
No entanto, vários fatores tornam inviável confiar nos appliances:
- Scalabilidade continua a ser um problema. A capacidade do hardware de lidar com grandes quantidades de tráfego DDoS é limitada pelo uplink de uma rede, que raramente é superior a 10Gbps (estouro).
- Os appliances on-premise precisam ser implantados manualmente para parar um ataque. Isso afeta o tempo de resposta e mitigação, muitas vezes fazendo com que as organizações sofram tempo de inatividade antes que um perímetro de segurança possa ser estabelecido.
- Finalmente, o custo para comprar, instalar e manter o hardware é relativamente alto, especialmente quando comparado a uma opção baseada em nuvem menos dispendiosa e mais eficaz. Isso torna os dispositivos de mitigação uma compra impraticável, a menos que uma organização seja obrigada a usar soluções locais (por exemplo, por regulamentações específicas do setor).
Neste último cenário, o hardware é normalmente parte de uma implantação híbrida, onde é complementado por soluções baseadas em nuvem capazes de defender contra ataques na camada de rede.
Soluções locais, baseadas em nuvem
Soluções locais são fornecidas por ISP ou baseadas em nuvem. Os ISPs normalmente oferecem apenas proteção da camada de rede, enquanto as soluções baseadas em nuvem oferecem recursos adicionais de filtragem necessários para interromper os ataques da camada de aplicação. Ambos oferecem escalabilidade praticamente ilimitada, já que são implantados fora de uma rede e não são limitados pelas limitações de uplink previamente identificadas.
De um modo geral, as soluções de mitigação fora do local são serviços gerenciados. Eles não requerem nenhum investimento em pessoal de segurança ou manutenção exigida por soluções de bricolagem e em hardware local. Elas também são significativamente mais econômicas do que as soluções locais, ao mesmo tempo em que oferecem melhor proteção contra ameaças de rede e da camada de aplicativos.
As soluções locais são implantadas como um serviço on-demand ou sempre ligado, com a maioria dos fornecedores líderes de mercado oferecendo ambas as opções.
Opções on-demand
Ativado pelo redirecionamento BGP, a opção on-demand interrompe os ataques da camada de rede – incluindo aqueles diretamente direcionados ao servidor de origem e outros componentes da infra-estrutura de rede central. Estes incluem SYN ou UDP floods, que são ataques volumétricos projetados para entupir os tubos de rede com pacotes de dados falsos.
Always-on option
A opção always-on é habilitada através do redirecionamento DNS. Ela interrompe ataques na camada da aplicação tentando estabelecer conexões TCP com uma aplicação num esforço para esgotar os recursos do servidor. Estes incluem inundações HTTP, inundações DNS e vários ataques de baixo e baixo nível (por exemplo Slowloris) .
Ver como a Imperva DDoS Protection pode ajudá-lo com ataques DDoS.
Imperva DDoS protection
Imperva mitiga um enorme flood HTTP: 690.000.000 de pedidos DDoS de 180.000 IPs de botnets.
Imperva fornece uma proteção DDoS fácil de usar, econômica e abrangente que empurra o envelope para a tecnologia de mitigação baseada em nuvem.
Por meio de uma combinação de soluções on-demand e always-on, uma rede global que oferece escalabilidade quase ilimitada e soluções de filtragem premiadas para mitigação transparente, a Imperva protege completamente seus clientes de qualquer tipo de ataque DDoS.
Visite aqui para saber mais sobre os serviços de proteção DDoS da Imperva.