Proteção e filtragem de pacotes DDoS

Resumo curto

Os ataques DDoS são de três classes: L3/L4 (marcando o canal/hardware), state-exhaustion (esgotando as tabelas de estado/CPU em balanços/firewalls) e L7 (gerando solicitações «plausíveis» para o aplicativo). A defesa eficiente é construída em várias camadas, como medidas de rede no perímetro, filtragem/escrabbing fora da sua rede, proteção em balanços/proxy e aplicação, além de procedimentos operacionais com SLO mensuráveis.

Paisagem de ameaças

Volume (UDP/ICMP flood, amplificação DNS/NTP/SSDP/CLDAP/Memcached): o objetivo é marcar o canal e as portas.
TCP state-exclusion (SYN/ACK flood, TCP fragmentation, conexões «para meio pano»): esgote o connack/listeners.
L7 HTTP (S )/ WebSocket/GraphQL flood, cachê-busting, solicitações «lentas»: comer aplicativos CPU/IO e camadas de dinheiro.
Reflexion/Amplificação: Uso de refletores/ampliformes abertos com uma fonte IP.
Carpet bombing: distribuir tráfego em vários prefixos IP, tornando a filtragem por pontos mais difícil.

Medidas básicas de rede (antes dos ataques)

1. Antiespufing: uRPF/BCP38 na fronteira; o drop de sacos de saída com fontes alheias.
2. LCA em edge/PE: proibição de protocolos/portos indesejados; listas individuais para o segmento mgmt.
3. CoPP (Controle Plane Policing): polising para o roteador (BGP, OSPF, SSH, SNMP).
4. Rate-limits/polising nas portas: bps/PPS para classes «ruidosas», configuração burst.
5. Distribuição de carga: Anycast para IP público, georassais; O CDN/WAAP é estático e oculto.
6. RPKI/ROA + importação rigorosa do BGP: reduz o risco de hajec/redirecionamento de tráfego.
7. Surface Rédução: Minimize os serviços publicados, feche o «cru» origin por proxy.

Resposta rápida ao ataque: alavancas de rede

RTBH (Remote Triggered Blackhole): BGP commodity para a rota zero/32 (ou/128) da vítima.
BGP Flowspec: rápida distribuição de regras L3/L4 (src/dst/porta/bandeiras TCP) para PE/edge.
Provedores de Scroubbing/anti-DDoS: túnel GRE/VRF ou upstream direto; filtragem, em seguida, o tráfego «limpo» para você.
Anycast-anti-DDoS: fluxo de fluxo por presença, localização de danos.
CDN/edge-dinheiro: escrevendo origin, fornecendo limites L7 e mecanismos «challenge».

Proteção hostel e L4

SYN cookies/SYNPROXY: não manter o estado até que o cliente seja confirmado.

Linux: `sysctl net. ipv4. tcp _ syncookies = 1 'ou' SYNPROXY 'no balanço de entrada.

Sintonizar connack (se usado):

Modere 'nf _ conntrack _ max' razoavelmente ao aumentar o hassize;
Reduza os temporizadores para os estados semiabertos e inativos.
eBPF/XDP: Drop precoce em NIC (PPS proteção), filtragem por assinatura/velocidade até o núcleo.
nftáveis/iptáveis: limites para PPS, remoção de bandeiras «suspeitas», connlimit.
UDP hardening: se o serviço não usar UDP - drop na fronteira; se usar - limitar fontes/portas.

Exemplo de 'nftable' (simplificado):

nft table inet filter {
sets {
bad_ports { type inet_service; elements = { 19, 1900, 11211 } } # chargen/SSDP/memcached
}
chains {
input {
type filter hook input priority 0; policy drop;
ct state established,related accept ip saddr 127. 0. 0. 0/8 drop ip6 saddr::1/128 drop

limit new TCP tcp flags & (syn    ack) == syn limit rate 200/second burst 400 accept tcp flags & (syn    ack) == syn drop

deny bad UDP ports udp dport @ bad _ ports drop

ICMP rate-limit icmp type echo-request limit rate 50/second burst 100 accept icmpv6 type echo-request limit rate 50/second burst 100 accept
}
}
}

SYNPROXY no balanceador de entrada (exemplo de 'iptáveis'):

bash iptables -t raw -A PREROUTING -p tcp --syn -j CT --notrack iptables -A INPUT -p tcp -m tcp --syn -m hashlimit --hashlimit 100/second --hashlimit-burst 200 --hashlimit-mode srcip --hashlimit-name syns -j SYNPROXY --sack-perm --timestamp --wscale 7 --mss 1460 iptables -A INPUT -m state --state INVALID -j DROP

Proteção L7 (curto)

WAAP/WAF: Modelo positivo em caminhos críticos, rate-limits, challenge/JS, compilação comportamental.
Armazenamento em dinheiro/off estático: reduza as solicitações para origin; proteção contra cachê-busting (normalização/lista preta de parâmetros).
GraphQL os limitadores «maxDepth», «maxCost».
BFF-pattern: tokens de clientes finos, lógica pesada/limites no servidor.
Idempotação e filas: Impede repetições de avalanche em caso de degradação.

Telemetria e detecção

Fluxo de rede: NetFlow/sFlow/IPFIX (pps, top talkers, protocolos/portas/ASN).
Sensores passivos L7: logs de balanço/proxy (nginx/envoy), métricas p95/99, error-rate.
Liminares básicos: «crescimento inesperado PPS/CPU por edge», «surto SYN-RECV», «UDP irresponsável».
Assinaturas/comportamento: frequências IP/ASN/JA3, picos 4xx/5xx, anomalias user-agente.
Visualização: L3/L4/L7 individuais; mapa do tráfego por geo/ASN; Tempo até o ROBBH/Flowspec funcionar.

SLO/SLI e alerting

SLO exemplos:

«MTTD de anomalias DDoS ≤ 60 segundos, MTTM (ativação de RTBH/Flowspec) ≤ 3 min».
"p95 latência através de edge ≤ 50 ms fora dos ataques; com ≤ 200 ms sob mitigação".
«A proporção de tráfego malicioso descartado de 99%, mantendo 98% legítimo».

Alarmes:

PPS/CPU/IRQ nós de rede> limiar;
SYN-RECV/half-open > X;
Crescimento de 5xx/latency em endpoentes públicos;
porcentagem de challenge/deny em WAF> limiar (risco FP).

Patrões de defesa arquitetônicos

1. Tiered Defense: Edge (ACL/CoPP) → Agrubbing/Anycast → L7-proxy/WAAP → Aplicativo.
2. Traffic Diversion: BGP comunity para se mudar para o screabbing, GRE-Beckhol enquanto pica.
3. Stateless Edge: Filtragem máxima stateless até conntrack; stateful - mais perto do aplicativo.
4. eBPF/XDP First: drogas iniciais (por JA3/portas/velocidade) até o núcleo.
5. Golden Paths: IP/domínios individuais para APIs críticos para não «derrubar» tudo.

Procedimentos operacionais e incidentes

Runbooks: Quem e em que métricas inclui o RTBH/Flowspec/screabbing, como mudar o Anycast/pool.
Lista preta e TTL: bloco de curto prazo para não «desligar»; ré-teste automático de fontes.
Comunicações: modelos de mensagens para provedores/parceiros/vendedores; canal de comunicação fora do domínio atacado.
Post-Invident: relatório com linha de tempo (T0... Tn), «o que funcionou/não», atualização do catálogo de teste.
Exercícios: game-days regular, dry-run, perda da região Anycast, linhagem de saturação, ataques «lentos».

Sintonizar Linux/balançar (amostra)

bash
TCP sysctl -w net. ipv4. tcp_max_syn_backlog=4096 sysctl -w net. ipv4. tcp_syncookies=1 sysctl -w net. ipv4. tcp_fin_timeout=15 sysctl -w net. ipv4. tcp_tw_reuse=1

Conntrack (if enabled)
sysctl -w net. netfilter. nf_conntrack_max=1048576 sysctl -w net. netfilter. nf_conntrack_tcp_timeout_syn_recv=30 sysctl -w net. netfilter. nf_conntrack_udp_timeout=15

NIC/IRQ ethtool -G eth0 rx 4096 tx 4096

Erros frequentes

Mantenha todo o tráfego através do firewall stateful em edge → exaustão do conntrack. Faça o stateless onde puder.
O canal mais recente é «a zero». Automatize liminares e ativação.
Um IP/uma frente para «tudo» → não há isolamento blast radius. Compartilhe domínios/IP e quotas.
Dinheiro zero → cada conversão L7 bate origin; Ativar e normalizar as configurações.
Bloqueio cego de países/ASN sem análise de legite - corta a conversão; Use as regras e os padrões.
Limites muito agressivos → FP em massa no auge do negócio.

Mapa de tráfego de implementação

1. Avaliação de superfície: inventário de IP/prefixados/portas/protocolos, mapa de caminhos críticos.
2. Higiene da rede: anti-espufing, LCA, CoPP, RPKI/ROA, rejeição de serviços UDP extras.
3. Diversão de Tráfego: Contrato com Screabbing Provedor, Anycast/CDN, BGP Comunities.
4. Edge-sintonizar: filtragem stateless, SYNPROXY/eBPF, timeuts razoável conntrack.
5. L7/WAAP: modelo positivo, limites/challengs, dinheiro.
6. Observabilidade: NetFlow/sFlow, L3/L4/L7, alertas, SLO.
7. Automação: botões RTBH/Flowspec, IaC para regras, canários de configs.
8. Ensinamentos e RCA: testes regulares, atualização de playbooks.

Características para iGaming/Fintech

Eventos de pico (torneios, promoções, jogos): planeje a capacidade/limites, aquecimento de dinheiro, CDN pré-warming.
Integração de pagamento: IP/domínios dedicados, canais prioritários por meio do provedor anti-DDoS, mTLS ao PSP, limites rigorosos para endpoint críticos.
Anti-frod/bot-controle: screenings comportamentais e challengs humanos no registo/login/molecode.
UX e Conversão: Com proteção agressiva, use listras grace para os parceiros VIP, degradação suave (dinheiro/readonly).
Os requisitos legais são transparência nas revistas, armazenamento de telemetria, depuração das medidas no Time-to-Wallet e métricas de circulação.

Exemplos: Flowspec e PTBH (conceitualmente)

RTBH por comunity (exemplo):


route 203. 0. 113. 10/32 blackhole set community 65535:666 announce to upstream

Flowspec (unidade UDP> 1 Mbps/interface por porta 19/1900):


match destination 203. 0. 113. 0/24 protocol = udp destination-port {19,1900}
then rate-limit 1000

FAQ

A WAF decide DDoS?
Em parte para L7. Contra L3/L4 e o volume precisa de scrabbing/Anycast/medidas de rede.

Os cookies SYN são suficientes?
Esta é uma proteção básica contra o SYN-flood, mas sem limites de rede ou scrabbing o canal ainda pode ser marcado.

Será necessário desativar o ICMP?
Não. Melhor rate-limit e apenas tipos perigosos, ICMP é útil para diagnóstico/PMTU.

Um túnel GRE com screabbing não pode adicionar latidão?
Sim, mas normalmente é aceitável. Compense com o cachê e a rota exata até o PoP mais próximo.

Resultado

Proteção DDoS confiável é uma arquitetura de rede de vários níveis: higiene (antiespufing/LCA/CAPP), diversão rápida de tráfego (RTBH/Flowspec/scrubbing/Anycast), sistemas de hospedagem e L7 (SYNPROXY, eBPF/XDP (WAAP), mais telemetria, SLO e playbooks ajustados. Esta abordagem minimiza o simples, mantém os canais vivos e mantém as métricas de negócios sob pressão de ataques distribuídos.