ddos_01.jpg

DDoS Defender

Proteção real contra ataques de DDoS, inclusive o mais avassalador e mais utilizado por criminosos cibernéticos, o temido "syn flood".

Devido a uma carência de soluções que realmente consigam trabalhar de forma eficiente o controle de conexões em ambientes on-premise, foi idealizado o DDoS Defender, capaz de absorver um elevado número de conexões durante um ataque de DDoS, incluindo o temido "syn flood", sem repassar nenhuma delas para os servidores reais das aplicações, enquanto continua encaminhando normalmente as conexões provenientes de clientes reais.

 

O que existe hoje de soluções para ambientes on-premise:

 

  • DDoS a nível de operadora

Soluções de operadoras protegem contra outros tipos de DDoS, menos agressivos e pouco usados por hackers, como "ack flood" e "udp flood", mas não são efetivos contra o temido ataque de "syn flood".

 

  • Firewall com limite de conexões

Alguns firewalls também oferecem proteção contra ataque de DDoS, incluindo "syn flood", mas utilizando técnicas questionáveis. Em geral eles podem atuar das seguintes formas:

* Limitar o número de conexões para um determinado destino/serviço, onde as conexões que excederem tal limite serão bloqueadas


Essa técnica impede um ataque de DDoS no sentido de não permitir que as requisições maliciosas que ultrapassarem o limite definido chegue a sua aplicação, no entento, também bloqueiam as requisições de seus clientes reais, o que de qualquer forma leva à indispobilidade do seu serviço. Ou seja, essa técnica pode facilitar um ataque de DDoS, onde um atacante só precisará ultrapassar o limite de conexões definido no firewall para conseguir deixar sua aplicação indisponível para seus clientes.


* Limitar o número de conexões para cada endereço de origem de forma independente.


Essa técnica mais elaborada estabelece uma limitação para cada endereço que está gerando conexões para o seu sistema. No entanto, muitas aplicações, principalmente aplicações WEB, necessitam de um número maior de conexões, pois os navegadores podem fazer diversas conexões simultâneas para acelerar o carregamento de páginas. Não é incomum se ver um único cliente estabelecer 30 requisições ou mais no intervalo de um segundo.

Considerando também que pode haver mais de um cliente conectado em uma rede que compartilhe o mesmo endereço IP de saída, esse número precisa ser multiplicado algumas vezes para evitar que acessos legítimos sejam indevidademente bloqueados. Devido a isso, geralmente as configurações de limitação deixam passar uma taxa de conexões relativamente alta, como 100 conexões por segundo para cada endereço de origem. Embora esse número possa não ser suficiente para comprometer a sua aplicações, em um ataque de DDoS vindo de 1000 origens diferentes, por exemplo, o firewall deixaria passar um taxa de 100.000 novas conexões por segundo, o que pode levar sua aplicação a indisponibilidade total.