Artigo - Nunca é cedo demais para receber um ataque DDoS 🎯
Nesse meu primeiro artigo para o TabNews, decidi compartilhar um pouquinho da minha experiência com grandes massas de público em jogos e ataques DDoS. Se você já é um profissional experiente do mercado, talvez não encontre uma escrita rebuscada e extremamente técnica, pois trago o artigo com o objetivo de fazermos quem está iniciando no mercado dar o primeiro passo de segurança em seu sistema.
Começando pelo começo
Um ataque de negação de serviço distribuído (DDoS) tem o objetivo de interromper o acesso normal de um serviço ou de uma infraestrutura através da inundação maliciosa do tráfego da internet. Em síntese, podemos dizer que um ataque simula o acesso de centenas ou milhares de vezes mais acessos de usuários do normal a sua aplicação.
Existem vários tipos e variações deste tipo de ataques, porém, com a finalidade de abstrair o máximo da complexidade do assunto, generalizei em 3 grandes categorias pelo modelo OSI:
- Ataques na camada de rede (Layer 3): visam atacar a infraestrutura da rede, como exemplo temos o Ping of Death (Ping da Morte);
- Ataques na camada de transporte (Layer 4): visam inundar os recursos, como exemplo temos o UDP Flood (envio de pacotes UDP em massa);
- Ataques na camada de aplicação (Layer 7): visam consumir todos recursos da infraestrutura da aplicação, seja ela um site (através das solicitações HTTP), um jogo (como Minecraft, ARK, Rust, etc.) ou outro sistema conectado publicamente à internet.
Os motivos de ocorrer um ataque DDoS são os mais diversos, mas entre os principais está a concorrência desleal com outras empresas, a extorsão de empresas através da negação de serviço, a candidatura política de oponentes, entre outros.
Vamos aos dados
Quando paramos para dar uma olhada nos dados de ataques de negação de serviço distribuídos, acabamos ficando bastante impressionados com a capacidade que eles estão atingindo. Para ilustrar, trouxe um relatório de um ataque mitigado pela Cloudflare.
Neste gráfico abaixo, trazido no Relatório de ameaças de DDoS do 3º trimestre de 2022, temos a representação de um ataque com pico de 2.5 Tbps à um servidor do jogo Minecraft, jogo com maiores ciberataques nos últimos anos. Este ataque teve origem da botnet Mirai e como principais vetores do ataque, destacam-se a inundação SYN (ataque de porta entreaberta) e um ataque volumétrico de DNS (Sistema de Nomes de Domínio).
Protegendo uma aplicação iniciante
Uma vez que o objetivo seja implementar uma proteção contra ataques de negação de serviço distribuídos em projetos que estão recentemente no mercado, precisamos colocar em nosso radar uma opção low budget. Diante desse cenário, temos dois ambientes bastante genéricos para atender a maioria das startups entrando no mercado.
Para soluções exclusivamente web, a recomendação que deixo é a implementação das soluções da Cloudflare - com uma capacidade de 172 Tbps de rede -, uma empresa bastante experiente em mitigação de ataques DDoS L3, L4 e L7. Além da proteção contra ataques de negação de serviço, você é beneficiado com o CDN global, WAF, servidor DNS, certificado SSL, controle de bots gerenciado, Rocket Loader, entre outros recursos. Com uma interface bastante amigável para quem está começando, você ainda pode se beneficiar do plano gratuito para seu projeto.
Para as soluções customizadas, muitas vezes acabamos batendo em soluções de infraestrutura bare metal, à qual muitos provedores não oferecem uma proteção satisfatória. Com um excelente custo-benefício, a OVHCloud (América do Norte, Europa), com uma capacidade de 32 Tbps de rede, oferece uma proteção L3 e L4 para toda gama de produtos e proteção L7 para a linha Game. Se você procura baixa latência, a latitute.sh (Brasil), com uma capacidade de 4 Tbps de rede, oferece uma excelente proteção para todas as camadas, porém não tão expansíveis quanto a dos outros provedores.
Por fim…
Gostaria de dizer que nunca é cedo demais para começar a proteger a sua aplicação. Não espere o primeiro ataque para começar a agir, seja ativo na ação de praticar a segurança em seu sistema e não deixe abalar a confiança de seus clientes sobre sua startup. Fique à vontade para a gente continuar trocando uma ideia em meu LinkedIn, será um prazer!