2017/02/06

Como a Google protegeu um site de um dos maiores ataques DDoS de sempre


Em Setembro de 2016, o site KrebsOnSecurity foi alvo de um gigantesco ataque DDoS, de tal escala que até a Akamai optou por deixar de o proteger, dizendo que não o poderia continuar a fazer de forma gratuita. A Google deu uma ajuda, e agora conta o que teve que enfrentar.

O site KrebsOnSecurity centra-se sobre questões de segurança e muitas vezes partilha investigações que explicam como foram identificados hackers e responsáveis por malware, ataques, etc. Não é por isso de estranhar que se torne num dos "alvos a abater" para muitas destas pessoas.

Embora hoje em dia seja fácil ter um site que chegue a milhões de pessoas, mais difícil é ter os recursos para suportar ataques de DDoS de grande escala, ainda mais quando até os serviços que proporcionam essa protecção optam por "largar o site", como aconteceu com a Akamai. A Google tem o Projecto Shield que visa proteger sites deste tipo de ataques, e é interessante ver aquilo que tiveram que enfrentar quando decidiram acolher o KrebsOnScurity sob a sua alçada.

Quando a Google repôs o site online, bastaram 14 minutos para que os ataques fossem retomados, começando com o envio de 130 milhões de SYN packets por segundo. Seria um ataque que encravaria muitos servidores, mas que para a Google não era problema. Quando viram que não fazia efeito, os atacantes passaram para 250 mil pedidos HTTP por segundo, vindos de 145 mil endereços IP diferentes (da botnet Mirai que infecta câmaras IP e outros dispositivos IoT e os utiliza como escravos para fazer estes ataques); seguindo-se novas tentativas com ataques de 140Gbps usando DNS amplification, 4 milhões de SYN-ACK packets por segundo, e até um ataque com 450 mil pedidos HTTP por segundo de 175 mil endereços IP - um dos maiores já vistos pelos engenheiros do Project Shield.


Porque é que a Google está disposta a proteger gratuitamente um site de tais ataques? Bem, há alguns aspectos curiosos, a começar pela decisão inicial de o ajudar. Afinal, como pode uma empresa disponibilizar recursos que protejam um site, pondo em risco a sua própria infraestrutura? Para a Google a resposta era simples: se um ataque a este site fosse algo que a Google não pudesse suportar, então estariam eles próprios em risco, sendo uma questão de tempo até que esses ataques fossem usados contra si.

Proteger o KrebsOnSecurity não ficará barato à Google... mas será um pequeno preço a pagar pela aprendizagem que vai permitindo ter contra diferentes tácticas de ataque que vão sendo testadas, e que permitirão melhor preparar as defesas contra os seus restantes serviços.

1 comentário: