O mercado de serviços de proteção contra ataques de negação de serviço distribuídos, ou Anti-DDoS – possui um grande foco na mitigação de ataques direcionados à camada de rede da infraestrutura das empresas.
Neste tipo de ataque, os vetores infectados são utilizados comumente para gerar requisições sem objetivo de comunicação concreta, com o intuito de inundar links de transmissão de internet com uma quantidade exacerbada de pacotes, gerando mais tráfego do que esses links suportam. Ou seja,o tráfego ilegítimoacaba sendo bem maior do que a capacidade que o link possui em contrato ou até mesmo que ele pode fisicamente suportar, deixando o serviço indisponível.
Por isso, apesar da grande variedade de estratégias e protocolos utilizados em crimes DDoS na camada de rede, esse tipo de ataque é mais simples de detectar e mitigar. Por vezes, ele acaba chamando tanta atenção da equipe de infraestrutura de uma empresa, que também é usado como “cortina de fumaça”, pois enquanto atrai a atenção para o seu combate, outras vulnerabilidades não detectadas são exploradas ao mesmo tempo.
Já em ataques DDoS na camada de aplicação, os invasores usam mecanismos mais sofisticados. Eles não inundam a rede com tráfego ou sessões, porém, esgotam lentamente os recursos de aplicações ou serviços específicos na camada em questão. Estes ataques podem ser eficazes mesmo com taxas de tráfego baixas e, do ponto de vista do protocolo, o tráfego envolvido pode parecer legítimo, tornando-os ainda mais difíceis de detectar. Exemplos de ataques à camada de aplicação incluem inundações HTTP e ataques Slowloris.
Para a defesacontra ataques à camada de aplicação, a NSFOCUS desenvolveu algoritmos personalizados com base nas características de tráfego de diferentes camadas. Por exemplo, no caso de um HTTP Flood, se uma botnet utiliza ferramentas para lançar um ataque com uma pilha de protocolos TCP/IP real, a autenticação de origem TCP/IP por si só não poderá reconhecê-lo como um ataque.
Portanto, é necessário habilitar a autenticação de origem na camada de aplicação, como HTTP 302 para redirecionar solicitações e verificar se o navegador que envia a solicitação é confiável. Somente navegadores reais possuem um mecanismo completo de verificação da pilha de protocolos HTTP e, por meio dessa autenticação, pode-se determinar se o tráfego naquele momento é legítimo ou não.
Se ficou com alguma dúvida ou quer saber mais sobre as soluções NSFOCUS, entre em contato com o nosso time!
