Skip to main content

Discussão dos Resultados

As defesas baseadas no próprio hospedeiro (End-Host), como os SYN Cookies, destacam-se pelo custo de implementação virtualmente nulo, visto que são funções nativas dos kernels modernos (Linux e Windows) [5], [6]. O impacto na latência durante a operação normal é baixo; no entanto, a literatura aponta que essa técnica apresenta baixa eficácia contra ataques volumétricos massivos. Embora impeça o esgotamento da fila de backlog, os SYN Cookies não evitam a saturação do enlace físico de rede ou o consumo excessivo de CPU para processar os pacotes forjados na interface. Além disso, ao desabilitar opções avançadas do protocolo e impedir retransmissões de SYN-ACK, a técnica "quebra a semântica do TCP", o que pode degradar severamente conexões legítimas em redes instáveis [3].

Elevando a defesa para a camada de rede, o SYN Proxy baseado em SDN oferece um equilíbrio interessante. Sua eficácia é classificada como média a alta, pois protege o servidor ao assumir e validar o handshake [2]. O custo para a vítima é médio, aproveitando a infraestrutura SDN existente, mas exigindo carga computacional extra do controlador para o gerenciamento contínuo das tabelas de fluxo. A latência sofre um impacto moderado no estabelecimento da primeira sessão, uma vez que o proxy intercepta a conexão e, em muitas implementações, força o cliente a reiniciá-la após a validação.

Para lidar com a atual geração de ataques na escala de múltiplos Terabits por segundo, a mitigação baseada em Nuvem e Redes Anycast demonstra a maior eficácia. Ao dispersar o tráfego globalmente, plataformas como a Cloudflare absorvem o impacto sem saturar a rede da vítima [4]. Curiosamente, o custo de infraestrutura local é baixo (transferido para um modelo de serviço - SaaS), e o impacto na latência também é minimizado. Em muitos casos, a proximidade dos servidores de borda (Edge) com os usuários finais pode até melhorar o tempo de resposta geral, mitigando o pequeno overhead gerado pelo redirecionamento inicial.

Por fim, os Centros de Depuração (Scrubbing Centers), utilizando soluções como o Wanguard, oferecem altíssima eficácia operacional, sendo a escolha primária de provedores de internet (ISPs). Contudo, essa autonomia cobra seu preço: o custo para a vítima é substancialmente alto, exigindo hardware dedicado de alta performance, placas de rede especializadas e licenciamento de software [7], [8]. A latência também sofre um impacto médio durante o período de ataque, uma vez que o tráfego precisa ser ativamente desviado via BGP, inspecionado por motores heurísticos e, por fim, reinjetado "limpo" na rede original, adicionando novos saltos físicos à rota dos pacotes.

Back to top