Um prestador de serviços de mitigação de DDOs europeu sofreu recentemente um enorme ataque de negação de serviço distribuído, atingindo 1,5 bilhão de pacotes por segundo (1,5 GPPs). A FastNetmon, especialista em proteção DDoS, defendeu com sucesso o ataque que se originou de dispositivos comprometidos em mais de 11.000 redes globais.
Técnicas de mitigação de ataques de DDo
O ataque usou uma estratégia de inundação da UDP que alavancava uma botnet de equipamento de cliente-adolescente (CPE), incluindo dispositivos da Internet das Coisas e roteadores Mikrotik. A distribuição generalizada do tráfego malicioso em milhares de redes demonstrou a escala global de ameaças modernas de DDoS. O FastNetmon confirmou que a vítima era um provedor de limpeza de DDoS – empresas especializadas em filtrar tráfego malicioso por meio de inspeção de pacotes, limitação de taxa, implementação do CAPTCHA e detecção de anomalias.
A detecção em tempo real permite uma resposta rápida
O Fastnetmon detectou o ataque em tempo real e imediatamente ativou a mitigação através da infraestrutura de limpeza do DDoS do cliente. A estratégia de defesa incluía a implementação de listas de controle de acesso (ACLs) em roteadores de borda, particularmente direcionando aqueles com recursos de amplificação conhecidos. Esse ataque segue a recente defesa do CloudFlare contra um recorde de 11,5 terabits por segundo ataque de DDoS volumétrico que atingiu o pico de 5,1 bilhões de pacotes por segundo, destacando a escala crescente dessas ameaças cibernéticas.
Como proteger sua rede de ataques de DDOs em larga escala
As organizações podem implementar várias medidas de proteção contra ataques de DDOs:
- Implantar ferramentas de monitoramento DDoS em tempo real como o FastNetmon para detecção imediata de ameaças
- Configurar listas de controle de acesso (ACLs) em roteadores de borda para bloquear padrões de tráfego suspeitos
- Implementar a limitação da taxa para controlar os volumes de pacotes de entrada
- Use os sistemas Captcha para distinguir usuários legítimos de ataques automatizados
- Habilite sistemas de detecção de anomalia para identificar comportamentos de tráfego incomuns
- Faça parceria com os provedores de serviços de limpeza DDoS para camadas de proteção adicionais
Intervenção no nível do ISP necessária para parar a arma de botnet
Pavel Odintsov, fundador da FastNetmon, enfatizou o crescente perigo de ataques em larga escala e pediu a intervenção do provedor de serviços de Internet para evitar armas de hardware de consumidor comprometidas.
“O que torna esse caso notável é o grande número de fontes distribuídas e o abuso de dispositivos diários de rede. Sem filtragem proativa no nível do ISP, o hardware do consumidor comprometido pode ser armado em uma escala enorme”. “O setor deve agir para implementar a lógica de detecção no nível do ISP para interromper os ataques de saída antes que eles escalem”.
O objetivo principal do ataque foi sobrecarregar a capacidade de processamento do sistema direcionada para causar interrupções no serviço, demonstrando por que as medidas de defesa proativas permanecem críticas para manter a segurança e a disponibilidade da rede.
