ake78 (3D & photo) - Fotolia
Como identificar o tráfego de ataque DDoS na rede corporativa?
Um especialista explicou, durante o primeiro dia de atividades do LACNOG 2023, como o tráfego proveniente de ataques de negação de serviço pode ser detectado e compartilhou algumas ferramentas que podem ajudar nesta tarefa.
Fortaleza, Brasil. – No âmbito do evento LACNIC 40, que acontece esta semana em uma praia do norte do Brasil, estão sendo realizadas sessões de trabalho do Grupo de Operadores de Rede da América Latina e do Caribe (LACNOG).
Entre as apresentações do LACNOG 2023, destaca-se a conferência de Rich Compton, membro do Grupo de Trabalho Anti Abuso (LAC-AAWG), que falou remotamente sobre como identificar o tráfego correspondente a ataques de negação de serviço (DDoS) de endereços falsificados em a grade.
Rich Compton é especialista em detecção e mitigação de ataques DDoS, controle de botnets, segurança BGP e é responsável por manter a infraestrutura de rede segura na Charter Communications, onde trabalha atualmente.
Durante sua apresentação, Compton explicou que os amplificadores UDP DDoS mais comuns incluem ataques a servidores DNS, NTP, WS-Discovery, LDAP, Apple Remote Desktop, Multicast DNS (mDNS) e servidores Plex, entre outros. Amplificadores SYN/ACK e PSH e RST também foram vistos.
Segundo o especialista, um novo tipo de ataque que tem sido visto recentemente é o TCP Middlebox Amplification, embora ele opinasse que essa ameaça realmente deveria ser chamada de HTTP Middlebox Amplification, já que funciona atacando os middleboxes da rede, enviando grandes quantidades de tráfego HTTP para que percam alguns pacotes e depois injetem tráfego para bloquear conexões. Geralmente é usado conteúdo com material pornográfico, explicou Compton.
Por que é um problema? Segundo o palestrante, quando os clientes que possuem amplificador aberto apresentam velocidade lenta de internet, costumam entrar em contato com o serviço de suporte, mas, caso a atividade incomum não seja detectada, será sugerido que adquiram mais largura de banda, o que não resolve o problema e às vezes pode afetar a largura de banda que deve ser alocada para outros clientes.
“Novos dispositivos vulneráveis são adicionados às redes todos os dias. Você não pode fazer que todos consertem seus dispositivos. E mesmo que o problema seja resolvido para 99% dos dispositivos, o 1% restante ainda será um problema”, disse Compton.
Como identificar esses ataques?
O engenheiro de rede da Charter Communications explicou que a forma mais fácil de identificar esta atividade irregular é verificar se as portas 80 ou 443 e a porta de destino funcionam como um amplificador aberto sob 1023. “É importante não permitir falsos positivos”, sublinhou.
Para ajudar na tarefa, Compton mencionou algumas ferramentas úteis. Por exemplo, a organização sem fins lucrativos Shadowserver fornece um relatório diário gratuito sobre amplificadores abertos encontrados em uma rede via API; e também lista o fator de amplificação para que os usuários possam atribuir uma prioridade ao relatório.
O provedor CableLabs possui um projeto que oferece uma lista de source IPs em sua rede que são origem do tráfego DDoS. Esta lista pode ser consultada gratuitamente.
O palestrante também ofereceu informações sobre um projeto que lidera, Tattle Tale, no Github.
Posteriormente, ele realizou uma demonstração sobre o uso das ferramentas sugeridas e incluiu sugestões como validação de endereço de origem e um serviço de relatório de spoofing da CAIDA.
No entanto, acrescentou, nem tudo são más notícias, uma vez que, segundo a Netscout, o tráfego proveniente de ataques de amplificação DDoS está em declínio.
Que segue? Compton recomenda que mais ISPs e Internet Exchange Providers (IXPs) revisem suas portas e tráfego, para que possam bloqueá-los em tempo hábil, minimizando assim o impacto para os usuários finais.