DDoS monitoring: como saber que você está sob ataque

A enquanto está de volta, nós cobrimos como você pode verificar seus logs IIS e Loggly do Windows para ver a origem de um ataque DDoS, mas como você sabe quando sua rede está sob ataque? Não é eficiente ter humanos monitorando logs todos os dias e todas as horas, então você deve confiar em recursos automatizados. O monitoramento automatizado de DDoS dá à sua equipe de segurança mais largura de banda para focar em outras tarefas importantes e ainda receber notificações caso anomalias aconteçam como resultado de um evento DDoS.

O que é um ataque DDoS?

Em resumo, um ataque DDoS é uma inundação de tráfego para o seu host ou servidor web. Com tráfego suficiente, um atacante pode comer a sua largura de banda e os recursos do servidor até que um (ou ambos) estejam tão inundados que eles não possam mais funcionar. O servidor trava, ou simplesmente não há largura de banda suficiente para permitir que os verdadeiros clientes acessem o seu serviço web. Como você provavelmente pode adivinhar, isso significa uma falha no seu serviço e perda de receita enquanto o ataque continuar.

Ataques DDoS podem ser devastadores para um negócio online, por isso é importante entender como eles funcionam e como mitigá-los rapidamente. Durante o ataque, não há uma fonte, então você não pode apenas filtrar um IP para pará-lo. Os atacantes DDoS infectam sistemas de usuários (que podem significar computadores, mas também sistemas embutidos ou dispositivos IoT) com software que lhes permite controlá-los em todo o mundo. O atacante usa um sistema centralizado que depois diz a essas máquinas infectadas por malware para enviar tráfego para o site. O número de máquinas à disposição do atacante depende do número de máquinas infectadas, mas pode ser em dezenas de milhares. Para piorar as coisas, o malware DDoS é tipicamente muito sofisticado e emprega técnicas para sobrecarregar o seu servidor da forma mais eficiente possível, por exemplo, enviando pedidos de conexão incompletos que causam estados de espera no seu sistema, durante os quais o sistema atacante pode enviar novos pedidos.

Você geralmente pode identificar o quanto de um ataque você pode suportar. Se o seu tráfego normal é 100 conexões de cada vez ao longo do dia e o seu servidor funciona normalmente, então 100 máquinas que competem por uma conexão provavelmente não o afetarão. No entanto, com um ataque DDoS serão milhares de conexões de vários IPs diferentes de uma só vez. Se o seu servidor não consegue lidar com 10.000 conexões de cada vez, então você pode ficar vulnerável a um ataque DDoS.

Sem aviso, você tem centenas ou milhares de máquinas (servidores, desktops e até dispositivos móveis) enviando tráfego para o seu site de uma só vez. Em poucos minutos, o desempenho e os recursos do seu site estão severamente esgotados e os utilizadores normais não conseguem aceder ao seu site.

Como sabe quando um ataque DDoS está a ocorrer?

A parte mais difícil de um ataque DDoS é que não há avisos. Alguns grandes grupos de hackers enviam ameaças, mas na maioria das vezes um atacante envia o comando para atacar seu site sem nenhum aviso.

Desde que você normalmente não navega pelo seu site, não é até que os clientes reclamem que você finalmente perceba que algo está errado. Inicialmente, você provavelmente não pensa que é um ataque DDoS, mas sim que o seu servidor ou alojamento está em baixo. Você verifica o seu servidor e faz testes básicos, mas você só verá uma grande quantidade de tráfego de rede com os recursos esgotados. Você pode verificar se algum programa está rodando em segundo plano, mas você não encontrará nenhum problema perceptível.

Entre o tempo que leva para você perceber que é um ataque DDoS e o tempo que leva para mitigar o dano, várias horas podem passar. Isto significa várias horas de serviço e renda perdidas, o que essencialmente leva um grande corte na sua receita.

DDoS Attack Clues

A forma mais eficaz de mitigar um ataque DDoS é saber quando ele está acontecendo imediatamente quando o ataque começa. Existem várias pistas que indicam que um ataque DDoS em curso está a acontecer:

• Um endereço IP faz x pedidos durante y segundos
• Seu servidor responde com um 503 devido a quedas de serviço
• O TTL (time to live) em um ping request times out
• Se você usar a mesma conexão para software interno, os empregados notam problemas de lentidão
• As soluções de análise de logs mostram um enorme pico no tráfego

A maioria destes sinais pode ser usada para automatizar um sistema de notificação que envia um email ou texto para os seus administradores.

Loggly pode enviar tais alertas baseados em eventos de log e limiares definidos, e até enviar estes alertas para ferramentas como Slack, Hipchat, ou PagerDuty.

Too Many Requests for One IP

Pode configurar temporariamente o router para enviar tráfego para rotas NULL a partir de IPs específicos. Isto essencialmente envia os endereços IPs atacantes para um beco sem saída ou sem saída, de modo que não possa afetar seus servidores. Isto é um pouco difícil, porque você pode facilmente bloquear um endereço IP legítimo enquanto você tenta parar o ataque. Outro problema é que o IP de origem é normalmente falsificado, então a conexão nunca é completada entre seu servidor e a máquina de origem.

Configurar alertas do firewall ou sistema de prevenção ou detecção de intrusão pode ser complicado, porque novamente alguns bots legítimos serão pegos como um ataque. A configuração e configurações também dependem do sistema que você tem.

Overall, você quer definir um alerta para sair se um intervalo de endereços IP enviar muitos pedidos de conexão através de uma pequena janela de tempo. Você provavelmente precisará fazer uma lista branca de certos endereços IP, porque endereços como o Googlebot irão rastrear o seu site a uma taxa muito rápida e freqüente. Levará algum tempo e ajustes antes que você receba este alerta para funcionar corretamente, uma vez que você vai querer legitimamente que alguns bots e scripts sejam executados que poderiam enviar um falso positivo para o seu sistema de alerta.

Server Responde com um 503

No Windows, você pode agendar alertas quando um evento específico acontece no Event Viewer. Você pode anexar qualquer tarefa a um evento incluindo erros, avisos ou qualquer outro evento que possa ajudá-lo a mitigar um problema antes que ele se torne uma situação crítica.

Para anexar uma tarefa a um evento 503, você precisa primeiro encontrar o evento no Event Viewer. Abra o Visualizador de Eventos e clique com o botão direito do mouse no evento.

Esta opção abre uma tela de configuração onde você pode configurar o evento para enviar um e-mail para um administrador ou para uma equipe de pessoas.

Se você tiver vários servidores, é eficiente configurar um alerta similar usando Loggly:

TTTL Times Out

Você pode pingar manualmente seus servidores para testar a largura de banda e conexão, mas isso não ajuda quando você quer automatizar um alerta antes que ele seja crítico. Se você está pingando o servidor, então você já sabe que há algo errado.

Para ajudar a automatizar alertas ping, vários serviços na web oferecem uma maneira de pingar o seu site de todo o mundo. O serviço ping seu site de várias regiões ao redor do mundo em uma freqüência que você configura. Se você tem cloud hosting, você pode ter um problema em uma região mas não em outra, então esses serviços de ping ajudam a identificar problemas em certos locais.

Só alguns serviços de ping estão listados aqui. Com esses serviços, seu site é monitorado 24 horas por dia, 7 dias por semana, para que sua equipe de TI possa responder caso seu servidor tenha algum problema. Como um ataque DDoS come na sua largura de banda, o tempo de ping será muito longo ou muito tempo fora. O serviço envia um alerta para sua equipe, para que eles possam iniciar técnicas de mitigação e solucionar o problema.

Sistemas de gerenciamento de logs e monitoramento de ataques DDoS

Soluções como Loggly exibir suas estatísticas de tráfego em toda a sua pilha e ajudá-lo a identificar se há alguma anomalia 24 horas por dia, 7 dias por semana. Usando Loggly, você pode identificar um ataque em andamento e enviar alertas aos seus administradores. A vantagem de utilizar estes logs é que você pode não só identificar os picos de tráfego, mas também identificar os servidores afetados, os erros retornados aos seus usuários e a data e hora precisas em que os picos de tráfego ocorreram. As ferramentas de análise fazem muito mais do que simplesmente dizer-lhe que existe um problema. Elas também lhe dizem os servidores afetados para economizar tempo na solução de problemas.

Com sistemas de gerenciamento de logs, você tem várias vantagens a mais do que as outras soluções. Você pode definir alertas para qualquer tipo de evento, o que torna este tipo de sistema muito mais flexível do que definir um alerta apenas para o tráfego.

Você também pode tornar os seus alertas muito mais granulares. Por exemplo, com um alerta baseado em um IP em seu firewall, você obterá vários falsos positivos até que você ajuste suas configurações de alerta para incluir apenas IPs suspeitos. Com Loggly, você pode definir seus alertas com base em uma combinação de eventos e picos de tráfego, para que você receba apenas aquelas anomalias que devem interromper o pessoal de TI e fazê-los responder rapidamente.

Uma nota sobre alertas: muitos deles podem ter um efeito oposto nas equipes de TI. Por exemplo, suponha que você tenha seu sistema configurado para enviar alertas sobre várias anomalias que normalmente são benignas. A sua equipa recebe centenas de alertas por dia com base nestas configurações. Quando inundados por eventos inofensivos, o pessoal de TI tende a ignorar todos eles, incluindo os mais importantes. Não é intencional, mas ao receber centenas de alertas por dia, os importantes podem ser enterrados e o resultado é que a TI tem uma supervisão durante uma falha crítica.

Arm Yourself Against DDoS

DDoS events are difficult but essentially a major security concern for administrators. Mas com alguma automação e alertas, você pode acionar as notificações proativas certas que limitam o tempo que leva para identificar e parar um ataque DDoS.

Agora você aprendeu o monitoramento de ddos e como dizer se você está sob ataque, inscreva-se para um cartão de crédito GRATUITO sem necessidade de Loggly Trial e veja o desempenho do aplicativo, o comportamento do sistema e a atividade incomum em toda a pilha. Monitore seus principais recursos e métricas e elimine problemas antes que eles afetem seu servidor e usuários.
>> Inscreva-se Agora para uma Avaliação de Loggly Grátis

As marcas registradas Loggly e SolarWinds, marcas de serviço e logotipos são de propriedade exclusiva da SolarWinds Worldwide, LLC ou suas afiliadas. Todas as outras marcas registradas são propriedade de seus respectivos proprietários.