Métodos de Mitigação
Com a evolução constante das capacidades de ataque e o barateamento de botnets, diversas abordagens foram desenvolvidas para mitigar os efeitos do SYN Flood. Essas técnicas variam desde modificações no próprio protocolo TCP e sistema operacional até a implementação de infraestruturas distribuídas em nuvem. A seguir, detalham-se os principais mecanismos de defesa adotados na atualidade.
SYN Cookies
A técnica de SYN Cookies é uma das defesas clássicas mais implementadas nativamente em sistemas operacionais. Seu objetivo principal é evitar a alocação prematura de memória (o Transmission Control Block —- TCB)TCB) no momento em que o primeiro pacote SYN é recebido.recebido [6].
Como funciona:
O
funcionamento ocorre da seguinte forma: quando o servidor
sob ataque recebe um pacote
SYNSYN, Emem vez de criar uma entrada na fila de backlog,
ele calcula um número de sequência inicial (ISN) criptográfico — o
cookie"cookie". OEsse cookie é gerado
viaatravés de uma função hash
combinando:que combina os endereços IP de origem e
destinodestino, Portasas de origemportas e
destino
Umum valor secreto conhecido apenas pelo
servidorservidor.
O servidor
então envia
oesse cookie no pacote
SYN-ACK seme reternão retém o estado
da conexão na
memóriamemória.
Se o cliente for legítimo, respondeele responderá com o pacote ACK final contendo o valor do cookie incrementado em 1
1. OAo receber esse ACK, o servidor refaz o
cálculo do hash para validar
—a somenteautenticidade entãodo cliente. Somente após essa validação bem-sucedida é que o servidor aloca
a memória e estabelece a
conexãoconexão. Embora eficiente Limitação:contra o esgotamento de memória, essa técnica apresenta limitações: como o estado não é armazenado,armazenado no servidor, a retransmissão de pacotes SYN-ACK é impedida, o que acaba quebrando a semântica padrão do TCP.protocolo PodeTCP e pode impactar o desempenho de conexões legítimas em redes com alta perda de pacotes.pacotes [3].
SYN Proxy baseado em SDN (SSP)
Redes Definidas por Software (SDN —- Software-Defined Networking)Networking) trouxeram um novo paradigma para a mitigação de DDoS ao desacoplar o plano de controle do plano de dados. Nesse contexto, o SYN Proxy atua como um intermediário transparente entre os clientes e os servidores alvo.
Fluxo de operação:
Durante um ataque, o controlador SDN instrui os equipamentos
de rede a redirecionar todos os pacotes SYN
de entrada para um módulo de proxy
O[2]. Esse proxy assume
a responsabilidade de completar o
Three-Way Handshake com o
clientecliente. Se a conexão for
concluídafinalizada com sucesso (
provando que o cliente
legítimo,é legítimo e não um IP
não forjado), o proxy inicia
uma nova conexão com o servidor real
Ose une os dois fluxos
são(splicing). unidosIsso viaprotege splicing,o protegendoservidor de lidar com o tráfego malicioso e poupa inteiramente osseus recursos do servidor
computacionais.
Mitigação em Nuvem e Redes Anycast
Para ataques volumétricosde massivosproporções (volumétricas massivas, na casa das dezenas de Gbps),Gigabits por segundo, as defesas locaisalocadas no próprio servidor ou na borda da rede local tornam-se insuficientes devido à saturação do link físico.físico Ode internet. Nesses cenários, a mitigação baseada em nuvem utilizando roteamento Anycast éapresenta-se como a solução mais robusta nesses cenários.robusta.
ComoO roteamento Anycast permite que múltiplos servidores ao redor do mundo anunciem o Anycastmesmo endereço IP. Quando um ataque SYN Flood é lançado, o protocolo de roteamento da internet (BGP) distribui o ataque:
tráfego
Etapa
O que acontece
Múltiplos servidores anunciam o mesmo IP
Tráfego é distribuído globalmente
BGP roteiamalicioso para
oos data
centercenters de mitigação mais
próximo
Carga distribuídapróximos geograficamente
da origem Validaçãodos pacotes. Como a infraestrutura de nuvem possui uma capacidade de processamento infinitamente superior à de um servidor individual, ela consegue realizar as validações do handshake na borda (edge)
. ServidorEssa originalabordagem protegidoelimina o custo Apenasde recursos do servidor visado e transfere a carga para a rede distribuída, encaminhando ao servidor de origem apenas o tráfego limpo
chegae aovalidado destino
Recursos preservados
[4].
Centros de Depuração (Scrubbing Centers) e Plataformas Híbridas
ISPsPara mitigar ataques volumétricos e direcionados de forma autônoma, provedores de internet (ISPs) e data centers utilizamfrequentemente recorrem a arquiteturas modulares baseadas em Centros de Depuração (Scrubbing Centers para mitigação autônoma.Centers). Uma solução de destaque nesse cenário comercial é o Wanguard,Wanguard, divididocuja estrutura opera de forma híbrida e é dividida em dois componentes principais:de detecção e filtragem [7].
Sensor
Nessa
arquitetura, Coletaum "Sensor" atua como o motor de vigilância da rede, coletando dados de tráfego em tempo real
viapor meio de protocolos de fluxo, como NetFlow ou
sFlowsFlow. ComparaAtravés de análise heurística, o Sensor compara dezenas de parâmetros
simultaneamente contra limites predefinidos ou perfis
comportamentaiscomportamentais. AnáliseConforme heurísticadestaca paraFernandes [7], esse monitoramento fornece detecção de anomalias
Automatizaque permite automatizar a reação aos ataques e
identificaidentificar instantaneamente a causa dos
incidentesincidentes.
Uma
Filtrovez (Scrubbing Center)
Ativado quando o Sensor detectaque a anomalia
Tráfego(o SYN Flood) é detectada, o tráfego sob ataque é desviado dinamicamente via
BGP Ambientepara um "Filtro" out-of-line (o Scrubbing Center). Neste ambiente isolado e de alta
capacidadecapacidade, aplicaaplicam-se regras
granulares:de mitigação Pacotesgranular: os pacotes SYN maliciosos
são descartados
via(utilizando tecnologias como BGP FlowspecFlowspec), Tráfegoenquanto o tráfego legítimo continua fluindo sem interrupções
Tráfego limpoe é
reinjetadoinjetado novamente, já limpo, em direção ao servidor de destino
[8].
