Image default
Security

Qual a melhor solução para detectar rapidamente ataques DDoS?

Fonte imagem: www.theinquirer.net
Fonte imagem: www.theinquirer.net

O sucesso na mitigação de ataques de DDoS (Negação de Serviço Distribuída) depende de dois fatores: a velocidade da detecção e da detecção em si.

Quando os usuários ou empresas consideram uma solução detecção de ataques DDoS, muitas de suas dúvidas giram em torno se é melhor utilizar soluções de NetFlow ou sFlow. Para entender qual é a melhor solução, primeiro daremos uma breve olhada nas diferenças entre os dois tipos de fluxos de dados.

O NetFlow (intimamente relacionado ao cFlow, Jflow e IPFIX) é um formato de registro de índices, onde um roteador ou outro dispositivo é tabulado ao exportar as estatísticas sobre cada fluxo de pacotes que passam por ele. Um fluxo é normalmente definido como uma tupla-5, ao enviar o IP e a porta, bem como no recebimento do IP, porta e o protocolo. Cada pacote é tabulado e adicionado na linha apropriada na tabela: mais 1 pacote, X mais bytes. O estado é mantido em cada fluxo observado pelo exportador, e quando um fluxo possui mais de 60 segundos, o registro é enviado para o coletor, que possui a tarefa de detectar o ataque de negação de serviço.

O sFlow possui uma abordagem um pouco diferente, onde não mantém nenhum estado. Em vez disso, o sFlow “pega” aleatoriamente um em cada N pacotes que passam por ele e imediatamente envia a informação para o coletor. Embora essa abordagem possa parecer menos precisa do que a do NetFlow, é realmente muito boa para detectar rapidamente um ataque DDoS.

Como o flood ou amplificação do ataque é iniciado “ferozmente”, a taxa de pacotes que fluem pelo exportador aumenta rapidamente. Isto significa que o número de amostras de pacotes que vão até o coletor (responsável pela detecção do DDoS) aumenta imediatamente.

Embora a abordagem do NetFlow garanta que nenhum pacote seja perdido, o que é ótimo para a análise forense da rede, essa abordagem poderá resultar em detecções muito mais lentas. Se a exportação do NetFlow possui memória suficiente para manter o estado de todo o tráfego do ataque, poderá levar 60 segundos até que o coletor consiga ver qualquer evidência do ataque. Felizmente, muitos dispositivos NetFlow com capacidades melhores, podem ser ajustados para exportar a taxas muito mais elevadas, resultando em melhores tempos de detecção.

A precisão da detecção é outra questão. Tanto o NetFlow como o sFlow enviam e recebem dados de portas e ambos transmitem informação sobre a combinação de flags e endereços IP, até que realmente o coletor possa fazer uma detecção precisa. Distinguir um ataque de amplificação DNS/NTP de um ataque do tipo SMURF, FRAGGLE ou de um Synflood, é fundamental na realização de uma mitigação eficaz. O sucesso depende do conhecimento dos seguintes ítens:

  • Quais são os objetivos a serem atingidos?
  • As taxas de bit/pacotes altamente elevadas são suficientes para impactar o serviço?
  • Qual é o tipo (ou tipos) específico de ataque existente?

O NetFlow e o sFlow fornecem detalhes suficientes para determinar com precisão se a lógica de detecção está presente no software coletor.

Na prática, temos visto que tanto o sFlow como o NetFlow utilizam implementações, que permitem com sucesso detectar ataques DDoS. Embora as implementações do sFlow consigam detectar ataques DDoS em pouco menos de 3 segundos, a natureza da Internet tomou tal forma em que o sFlow terá algum tempo até que o ataque alcance força total.

Combinado com as soluções de NetFlow que chegaram ao mercado, a vantagem da velocidade do sFlow está começando a enfraquecer. Além disso, tenha em mente que muitos ambientes não terão escolha, pois o hardware atual de exportação pode já está em uso, com suporte a um único tipo de exportação.

Ambas as soluções pode ser utilizadas para ajustar a sutileza da velocidade e precisão da detecção. Mais importante ainda, se você tiver possuir ambas as soluções, use elas. Quanto melhor for sua visibilidade, melhor será sua defesa.

Algumas soluções/padrões de análise de tráfego de Rede

Fonte: Dark Reading

Posts similares

Mr. Robot: Mozilla instala complemento promocional no navegador sem avisar e irrita usuário

O Analista

Tails: uma distro Linux com foco no anonimato e privacidade

O Analista

WickrMe, um mensageiro instantâneo para segurança e privacidade

O Analista
O Analista_