Anti-DDoS >


A proteção anti DDoS OVH




O que é a proteção anti-DDoS ?



Funcionamento de um ataque DDoS


As hipóteses de ser confrontado com um ataque DDoS são altas e as tentativas são inúmeras


Um ataque DDoS tem como objetivo tornar um servidor, um serviço ou uma infraestrutura indisponíveis ao sobrecarregar a largura banda do servidor ou fazendo uso dos seus recursos até que estes se esgotem.


Durante um ataque DDoS, vários pedidos são enviados em simultâneo, a partir de vários pontos da Net. A intensidade deste "fogo cruzado" torna o serviço instável, ou pior, indisponível.



O que nós propomos para proteger os seus serviços



Para proteger os seus serviços e os seus servidores dos ataques, a OVH propõe uma solução de mitigação baseada na tecnologia VAC. Trata-se de uma exclusiva combinação de técnicas para:


  • Analisar em tempo real e a alta velocidade todos os pacotes;
  • Aspirar o tráfego de entrada no seu servidor;
  • Mitigar, ou seja, recuperar todos os pacotes IP que não são legítimos, deixando passar os pacotes legítimos


Alvos e tipos de ataque



Para tornar indisponíveis os seus sites, servidor ou infraestrutura, existem 3 estratégias:


  • Largura de banda : categoria de ataque que consiste em saturar a capacidade de rede do servidor, tornando-o incontactável.
  • Recursos : categoria de ataque que consiste em fazer esgotar os recursos de sistema da máquina, impedindo-a assim de responder aos pedidos legítimos.
  • Exploração de uma falha de software : também chamado "exploit", é uma categoria de ataque que tem como alvo uma falha de software particular e tem como objetivo tornar a máquina alvo indisponível, ou ganhar controlo da mesma.


Nome do ataque Nível OSI Tipo de ataque Explicações do princípio do ataque
ICMP Echo Request Flood L3 Recursos Também chamado Ping Flood, o envio massivo de pacotes (ping) implica a resposta da vítima (pong) referida no pacote de origem.
IP Packet Fragment Attack L3 Recursos Envio de pacotes IP que referenciam voluntariamente outros pacotes que nunca serão enviados, saturando assim a memória da vítima.
SMURF L3 Largura de banda Ataque ICMP em broadcast no qual o endereço de origem é usurpado para redirigir as várias repostas para a vítima.
IGMP Flood L3 Recursos Envio massivo de pacotes IGMP (protocolo de gestão do multicast)
Ping of Death L3 Exploit Envio de pacotes ICMP que exploram uma falha de implementação em certos sistemas operativos.
TCP SYN Flood L4 Recursos Envio massivo de pedidos de ligação TCP
TCP Spoofed SYN Flood L4 Recursos Envio massivo de pedidos de ligação TCP, usurpando o endereço IP de origem
TCP SYN ACK Reflection Flood L4 Largura de banda Envio massivo de pedidos de ligação TCP para um grande número de máquinas, usurpando o endereço da vítima. A largura de banda da vítima será saturada pelas respostas aos pedidos que ela não efetuou.
TCP ACK Flood L4 Recursos Envio massivo de confirmação de receção de fragmentos TCP
TCP Fragmented Attack L4 Recursos Envio de segmentos TCP que referenciam voluntariamente outros segmentos que nunca chegarão a ser enviados com o propósito de saturar a memória do serviço "vítima"
UDP Flood L4 Largura de banda Envio massivo de pacotes UDP (não necessitam de prévio estabelecimento de ligação)
UDP Fragment Flood L4 Recursos Envio de datagramas UDP que referenciam voluntariamente outros datagramas que nunca serão enviados, saturando assim a memória do serviço "vítima"
Distributed DNS Amplification Attack L7 Largura de banda Envio massivo de pedidos DNS que usurpam o endereço de origem para um grande número de servidores DNS legítimos. A resposta será de maior volume do que a pergunta, gerando uma amplificação do ataque
DNS Flood L7 Recursos Ataque de um servidor DNS através do envio massivo de pedidos
HTTP(S) GET/POST Flood L7 Recursos Ataque de um servidor web através do envio massivo de pedidos
DDoS DNS L7 Recursos Ataque de um servidor DNS através do envio massivo de pedidos a partir de um grande número de máquinas controladas através da Internet.