Como reduzir o risco de ataques DDoS na AWS

Em 10 de novembro de 2016, ocorreu um ciberataque em grande escala. Consistia em múltiplas negações de serviço sobre um conhecido provedor de DNS (Dyn). Este ataque deixou inacessíveis os serviços de internet para usuários de todo o mundo e empresas conhecidas como Twitter, eBay e Spotify. O ataque foi realizado através de uma botnet que abrangia desde impressoras na internet até geladeiras inteligentes, incluindo monitores de bebês.

Cybersecurity

O que é um ataque de negação de serviço?

Os ataques de negação de serviço (DoS) e negação de serviço distribuído (DDoS) são tentativas maliciosas de interromper as operações normais do servidor, serviço ou rede atacada, sobrecarregando com uma inundação de tráfego de Internet.

Quanto tempo pode durar um ataque desse tipo?

A duração de um ataque DDoS varia. Segundo um relatório da Radware, 33% dessas interrupções duram uma hora, 60% duram menos de um dia completo e 15% duram até um mês. Um ataque desse tipo tem como objetivo desabilitar um servidor, um serviço ou uma infraestrutura. Durante um ataque DDoS, são enviadas simultaneamente múltiplas solicitações de diferentes pontos da rede. A intensidade desse "fogo cruzado" compromete a estabilidade e, em algumas ocasiões, a disponibilidade do serviço.

Como lidar com os ataques DDoS?

Escalabilidade – AWS oferece Route 53, que está hospedado em múltiplas localizações situadas em extremos do globo, criando uma superfície global capaz de absorver grandes quantidades de tráfego DNS. Amazon CloudFront e AWS Web Application Firewall também são capazes de lidar com grandes quantidades de tráfego.

Tolerância a falhas – Cada localização tem muitas conexões à internet. Isso permite a multiplicidade de rotas isolando assim as falhas. Route 53 utiliza «shuffle sharding» e «anycast striping» para aumentar a disponibilidade. Com o shuffle sharding, cada DNS na sua delegação corresponde a um único conjunto de localizações. Isso aumenta a tolerância a falhas e minimiza a sobreposição entre consumidores da AWS. Se um servidor não estiver disponível, o sistema cliente redirecionará a resposta para outro servidor em outra localização. Com anycast striping, as solicitações são direcionadas aos DNS com melhor localização. Isso separa a carga e reduz a latência DNS.

Mitigação – AWS Shield Standard nos protege contra 96% dos ataques habituais. Isso inclui «SYN / ACK floods» e «HTTP Slow read». O serviço padrão vem incorporado de maneira automática e transparente nos balanceadores de carga, distribuições CloudFront, AWS WAF e Route 53 sem nenhum custo extra. AWS Shield Advanced inclui proteção adicional para mitigar ataques DDoS, acesso 24×7 a uma equipe responsável pelos DDoS e métricas e relatórios em tempo real.

Em conclusão

Os ataques de negação de serviço podem afetar qualquer tipo de empresa, mas as consequências variarão muito dependendo das medidas de prevenção que foram tomadas por cada uma. Se estas forem corretas, as consequências do ataque serão imperceptíveis, mas se as medidas de prevenção forem poucas ou quase nulas, o site pode ficar inoperante durante todo o tempo que durar o ataque.

Por fim, esse tipo de ataque muitas vezes tem sua origem em sistemas desatualizados, pois estes são essencialmente mais vulneráveis.