Vejo com frequência, e até mesmo fui abordado recentemente, por uma empresa prometendo isso como se existisse uma “mitigação mágica” capaz de separar, sem erro algum, cada pacote legítimo do tráfego malicioso. Se fosse assim, resolver ataques DDoS seria tão simples quanto um truque de ilusionista. Mas a realidade técnica é bem diferente.

Como o próprio nome sinaliza, mitigar significa reduzir efeitos. E alguns dos motivos pelos quais, geralmente, uma mitigação não é absoluta e sem efeitos colaterais, eu explicarei abaixo:

1) Alteração no plano de controle e de encaminhamento dos roteadores

Por terem um investimento limitado em cibersegurança ou para evitarem efeitos colaterais em períodos de paz, a maioria das empresas que contrata uma mitigação o faz na modalidade out-of-path. Ou seja, a mitigação só é ativada sob demanda durante uma suspeita de ataque. Alterar o roteamento vez ou outra é aceitável e não traz transtornos. Mas, quando isso acontece com frequência em episódios de ataques constantes, costuma trazer problemas como damping de rotas na DFZ e inalcançabilidades temporárias durante o recálculo de rotas na Internet. Esses dois problemas não são causados pelo equipamento ou pelo fornecedor de mitigação; são problemas inerentes ao protocolo BGP e à forma como a Internet funciona.

2) Conteúdos relevantes mitigam ataques de reflexão

Esta parte é um pouco mais complexa, por isso serei mais sucinto. Se você quiser que eu detalhe melhor, comente aqui e eu escrevo um artigo sobre isso no futuro 😉

Muitas vezes, conteúdos relevantes, como YouTube, Instagram, sites de prefeituras, ERPs e muitos outros, são utilizados para refletir ataques contra uma determinada vítima. Do ponto de vista desses conteúdos, os IPs de origem são ofensores, e por isso eles simplesmente bloqueiam os acessos das redes vítimas finais do DDoS. E isso é um problema complexo, pois os pacotes foram spoofados, usando como IPs de origem a própria vítima do ataque. Em casos assim, o problema sequer está na mitigação usada pela vítima em si, mas sim nos próprios conteúdos.

3) Algoritmos avançados exigem redes robustas

Alguns algoritmos avançados de testes de legitimidade exigem que parte dos pacotes do ataque passe inicialmente para identificar o comportamento e definir, com mais precisão, o que é ataque e o que é tráfego legítimo. Portanto, existem casos em que a mitigação é extremamente avançada, mas a rede não tem robustez suficiente para suportar as rajadas iniciais de ataque e sucumbe rapidamente. É como se o paciente estivesse fraco demais para tomar o remédio, entende?

4) A análise profunda dos pacotes incrementa a latência

Independentemente de a mitigação ser out-of-path (como citei no item 1) ou inline, possuir um ativo ou outro sistema autônomo inspecionando pacotes na camada 7 incrementa a latência em algum nível. Esse incremento pode ser pequeno, na casa dos nanossegundos, se a mitigação for on-premise, ou pode ser grande, na casa das dezenas de milissegundos, caso a mitigação opere a longas distâncias geográficas. E, independentemente do que digam, sempre haverá algum aumento de latência, visto que analisar payloads é, inevitavelmente, mais custoso do que apenas encaminhar um pacote.

Também poderia citar diversas outras razões para possíveis efeitos colaterais, como o bloqueio temporário de ICMP echo request a fim de dificultar a medição da eficácia de um ataque, ou a mitigação em camada 4 usada para viabilizar planos de mitigação mais acessíveis financeiramente para empresas menores.

O importante a lembrar é que todo processo de defesa envolve inspeção profunda, bloqueio de padrões suspeitos e, muitas vezes, ajustes dinâmicos em regras de roteamento e filtros. O que isso significa na prática?

• Pacotes legítimos podem sim ser impactados, especialmente em ataques massivos e complexos.
• Existe quase sempre um trade-off entre segurança, performance e custos.
• O que diferencia uma boa mitigação não é a ausência de efeito colateral (porque isso não existe), mas a capacidade de reduzir ao mínimo esses impactos, mantendo a rede em pé.

Portanto, meu desfecho aqui é: assim como não existem soluções milagrosas no mundo físico para problemas complexos, também não existem soluções fáceis e milagrosas contra ataques DDoS. Quer saber se um fornecedor de Anti-DDoS é de fato bom? Aqui vão algumas dicas:

• Não acredite em gurus ou soluções milagrosas, sobretudo se elas forem muito baratas. Quem promete isso está faltando com a verdade ou tem pouco conhecimento do assunto.
• Pesquise sobre a reputação da solução em outras empresas semelhantes à sua. Uma solução pode ser boa para um tipo de empresa, mas ruim para outros.
• Questione os métodos usados na mitigação e analise a profundidade da resposta. Empresas não especializadas tendem a dar respostas genéricas e comerciais, como “utilizamos a solução XPTO, que é líder de mercado”.
• Peça garantias de tempo de atendimento, e não de eficácia. É mais importante contar com uma equipe de prontidão e respostas rápidas do que com uma solução que promete algo inverídico.

Nunca se esqueça: você faz parte da mitigação. Se não adotar as boas práticas que cito neste artigo abaixo, passará por maus bocados durante a próxima crise de ataques DDoS.

https://wiki.brasilpeeringforum.org/w/Boas_praticas_para_cenarios_de_DDoS

Por: Daniel Damito

CEO & Founder da Sage Networks | Especialista em Anti-DDoS, BGP e IPv6 | Coordenador do IPv6 Task Force no BPF

Portal DoCloud