Tweet
Este topico se refere ao mundo real, ddos em serviços (web, ftp, ssh, etc)
Hoje as empresas estão mitigando os ataques de ddos tão facilmente que dificilmente você
assiste um site indisponível por muito tempo, as vezes não fica nem 30 minutos.
Porque?
R: Estão atacando de forma errada.
Ferramentas mais usadas:
t50
g3m
slowloris
c4
loic
hoic
Existem muitos hardwares e softwares para mitigar um ataque, no caso de ferramentas como t50, g3m, slowloris e c4. Estas
ferramentas só terão exito se a conexão e o processamento for maior que a do server atacado, porque isso?
A tecnologia para filtrar estes ataques como flood de protocolos invalidos, falsificação de protocolos e
flood de protocos validos existem a alguns anos, ou seja, no caso destas ferramentas para se ter exito no ataque somente
tendo maior poder de processamento e conexão, ou seja, muito dificil isso acontecer.
Todas as grandes provedoras de internet ja possuem estas tecnologias a questão é claro você tem que pagar por elas.
Tem grandes empresas que oferecem serviços anti-ddos ex: dosarest, softlayer, CloudFlare, incapsula, etc.
Existe também modulos do apache, aplicações e servidores web que suportam melhor os ataques como ex: Nginx + Varnish.
Um exemplo de aplicação são aqueles frameworks por ex: que não deixam você acessar um arquivo diretamente, ae nao teria
como mandar baixar um .zip ou pdf ou imagens diretamente no link.
Qual é a ideia global destas empresas e os modulos de proteção?
1- Infraextrura grande (processamento e banda interminaveis ainda mais que hoje existe "Cloud computing")
2- filtros de protocolos invalidos (icmp, syn, etc)
3- filtros de flood multiplos protocolos validos e invalidos ao mesmo tempo (ex: t50)
4- filtros de flood protocolos validos (udp, tcp, http, ftp, ssh, etc)
A ideia principal é detectar anomalias, caso a requisição for diferente da tradicional vamos dar um alerta e analisar
o que esta acontecendo. Quando eu estou navegando em um site existe um delay entre as requisições,
este delay + IP + headers + requisição, hoje é 90% da base que as empresas levam em conta para saber se é um ataque ou não.
Um ddos você tb tem que pensar nos custos gerado para a empresa atacada, ex: Eu não consigo derrubar um servidor porque
esta tem uma infra grande e muitas proteções, mas voce tem que pensar que se de uma hora para outra a banda usada triplica,
os custos para a empresa perante o provedor tambem aumentarão, ou seja, voce está dando um ddos nos bolsos da empresa.
Existe muitas empresas menores de proteção de anti-ddos que se o ataque for muito grande estas empresas notificam o dono
do DNS para retirada do site.
Agora vamos pensar, como burlar isso. A ideia é simples, temos que simular o mundo real e é claro somente com uma botnet
você tem poder para isso, porque sozinho ou com algumas maquinas só iria ter exito em servidores dedicados ou provedores
pequenos.
.
.
.
.
Hoje as empresas estão mitigando os ataques de ddos tão facilmente que dificilmente você
assiste um site indisponível por muito tempo, as vezes não fica nem 30 minutos.
Porque?
R: Estão atacando de forma errada.
Ferramentas mais usadas:
t50
g3m
slowloris
c4
loic
hoic
Existem muitos hardwares e softwares para mitigar um ataque, no caso de ferramentas como t50, g3m, slowloris e c4. Estas
ferramentas só terão exito se a conexão e o processamento for maior que a do server atacado, porque isso?
A tecnologia para filtrar estes ataques como flood de protocolos invalidos, falsificação de protocolos e
flood de protocos validos existem a alguns anos, ou seja, no caso destas ferramentas para se ter exito no ataque somente
tendo maior poder de processamento e conexão, ou seja, muito dificil isso acontecer.
Todas as grandes provedoras de internet ja possuem estas tecnologias a questão é claro você tem que pagar por elas.
Tem grandes empresas que oferecem serviços anti-ddos ex: dosarest, softlayer, CloudFlare, incapsula, etc.
Existe também modulos do apache, aplicações e servidores web que suportam melhor os ataques como ex: Nginx + Varnish.
Um exemplo de aplicação são aqueles frameworks por ex: que não deixam você acessar um arquivo diretamente, ae nao teria
como mandar baixar um .zip ou pdf ou imagens diretamente no link.
Qual é a ideia global destas empresas e os modulos de proteção?
1- Infraextrura grande (processamento e banda interminaveis ainda mais que hoje existe "Cloud computing")
2- filtros de protocolos invalidos (icmp, syn, etc)
3- filtros de flood multiplos protocolos validos e invalidos ao mesmo tempo (ex: t50)
4- filtros de flood protocolos validos (udp, tcp, http, ftp, ssh, etc)
A ideia principal é detectar anomalias, caso a requisição for diferente da tradicional vamos dar um alerta e analisar
o que esta acontecendo. Quando eu estou navegando em um site existe um delay entre as requisições,
este delay + IP + headers + requisição, hoje é 90% da base que as empresas levam em conta para saber se é um ataque ou não.
Um ddos você tb tem que pensar nos custos gerado para a empresa atacada, ex: Eu não consigo derrubar um servidor porque
esta tem uma infra grande e muitas proteções, mas voce tem que pensar que se de uma hora para outra a banda usada triplica,
os custos para a empresa perante o provedor tambem aumentarão, ou seja, voce está dando um ddos nos bolsos da empresa.
Existe muitas empresas menores de proteção de anti-ddos que se o ataque for muito grande estas empresas notificam o dono
do DNS para retirada do site.
Agora vamos pensar, como burlar isso. A ideia é simples, temos que simular o mundo real e é claro somente com uma botnet
você tem poder para isso, porque sozinho ou com algumas maquinas só iria ter exito em servidores dedicados ou provedores
pequenos.
.
.
.
.
Comment