Como já explicamos em outro post desse blog, mesmo que o ISP tenha uma mitigação DDoS contratada ele pode sofrer alguns efeitos colaterais diante de cenários de ataques DDoS mais severos, nesse post vamos mostrar quais boas práticas os ISP’s precisam seguir para que os efeitos colaterais sejam diminuídos a quase zero.
Primeiramente, para explicar de maneira simples, um ataque DDoS é feito por hackers que se utilizam de botnets com o objetivo sobrecarregar um servidor, um computador ou uma rede inteira a ponto de prejudicar a performance ou mesmo indisponibilizar serviços on-line, websites e aplicações web. Para isso, o alvo do ataque é inundado com tráfego malicioso fazendo com que recursos, como memória, processamento, ou banda, fiquem esgotados. Desta maneira o acesso de usuários legítimos tem sua performance afetada negativamente, podendo chegar a total indisponibilidade.
Use IPv6 em massa
Desde 2006 o IPv6 já é o protocolo padrão da internet, ou seja, o IPv4 apesar de muito utilizado é um protocolo legado. Atualmente são raros (para não dizer desconhecidos) casos de ataques DDoS usando IPv6, então todo o tráfego IPv6 do ISP não é impactado durante a mitigação. Se não existe ataques em IPv6, logo todo tráfego de IPv6 não precisa ser mitigado e isso faz com que o ISP economize com nuvens de mitigação. Lembre-se de utilizar o IPv6 também nos serviços como DNS, SNMP, etc.
DNS Com Hyperlocal e Anycast
DNS é um serviço de suma importância ao ISP e por isso os ataques usando vetores de DNS são frequentemente utilizados. O Hyperlocal resumidamente executa uma cópia da zona raiz no mesmo servidor de serviços de resolução recursiva. Desta forma, as consultas à zona raiz dos clientes são respondidas localmente sem necessidade comunicação com a internet, ou seja, mesmo que todo tráfego da porta 53 UDP for descartado a resolução de nomes continuará funcionando por um determinado tempo. Já o Anycast traz mais resiliência ao DNS já que você pode utilizar o serviço com o mesmo IP em diversas localidades da sua rede fazendo uma distribuição da carga aos servidores, adicionalmente em caso de falhas em um servidor seus clientes serão automaticamente direcionados a outro servidor DNS mais próximo deles. Aqui nesse link existe um artigo bem completo explicando como subir esse serviço.
Remoção de Loop’s Estáticos
Isso acontece quando existe uma rota para um determinado prefixo apontando para um roteador / dispositivo que não tem essa rota em sua tabela de roteamento, obrigando assim o pacote retornar para o mesmo lugar de onde veio e ficando nesse loop até que o TTL expire. Muitos ataques DDoS se aproveitam dessa falha do ISP para gerar um impacto muito maior do que realmente deveria ser, pois aqui não apenas o tráfego de download (RX) é afetado, mas também o de upload (TX). Nesse link você encontra um artigo que comenta como prevenir isso dentro da sua rede.
Uso de Mikrotik’s na rede
Equipamentos da marca Mikrotik pode ser um problema para quem está sofrendo ataques DDoS, isso porque todo tráfego que passa por esses equipamentos não é processado por um chip ASICs ou FPGA e sim pela CPU. Por isso nunca faça regras de firewall para tentar descartar algum tráfego, também sempre que possível use fast-track ou fast-path.
Evite o uso desnecessário de IPv4 Público
Sempre que possível, use IPv4 privado em interfaces de ponto a ponto no backbone ou interfaces de ponto a ponto com upstreans. Isso porque roteadores são otimizados para o encaminhamento de pacotes (dataplane) e em caso de DDoS em IP’s públicos de interfaces todo o tráfego sujo desse ataque será processado pela control plane, fazendo com que o roteador tenha sua performance severamente impactada. No caso de IP público do seu fornecedor em uma interface de ponto a ponto com seu upstream o problema é pior, pois você não pode mitigar um ataque para um IP que não é seu e todo tráfego destinado a esse IP precisará ser mitigado pelo seu fornecedor que nem sempre tem as condições para mitigá-lo, por isso recomendamos que solicite a troca por IP’s privados ou não roteados na internet. Clicando aqui você pode ver um vídeo sobre a importância do uso dos iP’s privados nesses casos.
Software para detecção de ataques
Bastam alguns sintomas para saber que sua rede está sob ataque DDoS, mas mesmo assim recomendamos a instalação de algum software que possa detectar os ataques DDoS, mas também trazer mais detalhes e automatizar o envio dos prefixos sob ataque para alguma mitigação, aqui na Telic recomendamos que os ISP’s o Wanguard ou FastNetMon para esse fim.
Communities BGP
Escolha comprar trânsito IP de empresas que tenham a maior gama possível de communites BGP para engenharia de tráfego, principalmente communitie de blackhole. Mantenha essas communities em mãos para que no momento que estiver sob ataque seja possível utilizá-las para que o impacto seja menor na sua operação.
Tuneis GRE
Em muitos casos é necessário o uso do GRE para mitigação e com isso estaremos está efetivamente encapsulando pacotes dentro de outros pacotes para transmiti-los através do túnel. Esse encapsulamento adiciona bytes extras ao cabeçalho do pacote original, o que pode levar a problemas de tamanho máximo de segmento (MSS) para o protocolo TCP. O valor padrão de MSS para o TCP é 1460 bytes (isso é para um MTU padrão de 1500 bytes, que é comum em redes Ethernet). No entanto, com a adição do cabeçalho GRE, o tamanho efetivo do pacote pode exceder o MTU da rede, resultando na necessidade de fragmentar o pacote. Para resolver esse problema ao usar túneis GRE, é necessário ajustar o valor do TCP MSS para garantir que os pacotes TCP, quando encapsulados, não excedam o MTU da rede. Recomendamos que o ajuste de TCP-MSS seja feito nas interfaces que recebem o tráfego dos clientes, por exemplo na interface que entre o BGP e o concentrador de clientes, como PPPOE ou DHCP server. Cada empresa mitigadora de ataques DDoS pode recomendar o valor do MSS que seja melhor para o funcionamento do serviço de mitigação, na nossa mitigação recomendamos o valor de 1400.
Outro ponto sobre tuneis GRE é usar GRE over IPv6, ou seja, usar um IPv6 para estabelecer o túnel, uma vez que o IPv6 tem menos chances de sofrer ataques DDoS.
Testes Periódicos
Assim como qualquer outro componente crítico de um sistema ou infraestrutura, é vital garantir que as ferramentas de segurança funcionem conforme esperado. Por isso é importante testar periodicamente as ferramentas de mitigação já que o cenário de ataques muda constantemente, validar essas configurações e esses cenários é de suma importância, além de testar as configurações, testar o desempenho da ferramenta, analisar a integração com outras ferramentas, identificar falsos positivos e manter a melhoria contínua dos serviços.
Por fim, é muito importante contratar a mitigação de ataques e tomar todas as ações mencionadas antes de receber ataques, pois isso trará a robustez necessária para que sua rede não sofra com esse tipo de ataque causando assim a insatisfação dos seus clientes e obviamente perda de faturamento por conta de DDoS.