Análise de um ataque DDoS

A análise do tráfego e detectar ataques

 

Detectar o ataque

Para detetar um ataque, utilizamos o netflow que é enviado pelos routers e analisado pelos equipamentos Arbor PeakFlow. Cada router transmite um resumo de 1/2000 do tráfego que o atravessa regularmente. Os equipamentos PEakFlow analisam esses resumos e comparam-nos com as assinaturas dos ataques. Se a comparação é positiva, a mitigação entra em ação em alguns segundos.

As “assinaturas” analisadas baseiam-se no número de “pacotes por segundo” (pps, Kpps, Mpps, Gpps) ou “bytes por segundo” (bps, Kbps, Mbps, Gbps) nalguns tipos de pacotes como:

  • DNS ;
  • ICMP ;
  • IP Fragment ;
  • IP NULL ;
  • IP Privado ;
  • TCP NULL ;
  • TCP RST ;
  • TCP SYN ;
  • UDP ;
  • Tráfego total.

Considerando que é necessário que alguns limites sejam ultrapassados e que apenas 1/2000 do tráfego real é analisado, a implementação da mitigação pode levar entre 15 e 120 segundos.

Deixe um comentário