Mais uma vez, a rede Deflect cresceu em tamanho e público em 2021. Além do trabalho continuamente excelente de nossos clientes, o que mais se destacou para a equipe da Deflect encarregada do monitoramento da rede e da mitigação de ameaças foi a crescente sofisticação e “precisão” do Baskerville, que superou os conjuntos de regras criados por humanos para a biblioteca de limitação de taxa de solicitações do kit de ferramentas de mitigação Banjax. Sim, a máquina está superando os humanos na Deflect. Não vamos nos aprofundar na natureza filosófica dessa realidade, mas sim compartilhar com vocês algumas estatísticas e ataques interessantes que testemunhamos este ano.
O ano em números
| Número de solicitações válidas atendidas | 10.152.911.060 |
| Número de leitores únicos (IP) válidos | 77.011.728 |
| Total de solicitações bloqueadas – Banjax | 3.326.915 |
| Total de solicitações contestadas pelo Baskerville | 2.606.927 |
| % dos clientes da Deflect que também utilizam a hospedagem eQpress | 34 % |
| Tempo total de indisponibilidade total do Deflect | 0 |
| Menor tempo de atividade entre todos os clientes da Deflect | 99,8% |
| Aumento na porcentagem de clientes em relação ao ano anterior | 21,62% |
| Maior botnet, em número de bots | 19.333 |
| Número de eventos DDoS significativos | 103 |
Ataques desviados
Em 4 de novembro de 2021, um ataque DDoS contra um meio de comunicação vietnamita (também hospedado na EQPress) teve início por volta das 16h50 UTC. Entre 2.000 e 2.500 endereços IP únicos foram bloqueados, originários dos Estados Unidos, Canadá, Alemanha, França e outros países. Esses bots enviaram cerca de 825 mil solicitações GET / e GET https://website.com// durante esse ataque. A maioria dos IPs envolvidos foi detectada como proxies, e muitos deles revelaram um IP no cabeçalho X-Forwarded-For. A instância do WordPress subjacente recebeu até 5.000 solicitações por segundo, forçando o servidor da EQPress a enviar até 30 megabits por segundo de respostas HTML. Graças ao cache do FasctCGI e ao reforço geral da configuração, o cluster da rede de hospedagem dispunha de recursos suficientes para atender às solicitações até que todos os bots fossem bloqueados, sem quaisquer problemas significativos para o próprio site ou para os sites vizinhos.
O Baskerville detectou esse ataque e enviou comandos de desafio para mais de 2.200 endereços IP.
Esse ataque teve como alvo um site independente de jornalismo investigativo das Filipinas. O ataque teve início em 15 de novembro e se estendeu pelas duas semanas seguintes. Grande parte do tráfego do ataque não foi detectada pelo Deflect, visando o data center de hospedagem com inundações de tráfego nas camadas L3/L4.
Quase 4.000 endereços IP únicos enviaram mais de 70 milhões de solicitações “GET /” e “GET /?&148294400498e131004165713TT117859756720Q106417752262N” contra o site, utilizando técnicas de `cache busting` com parâmetros aleatórios na string de consulta. Os invasores também recorreram ao uso de User-Agents falsificados nas cadeias de solicitação. Obviamente, esse ataque foi adaptado para contornar as defesas de cache do Deflect. Muitos dos endereços IP participantes eram proxies, possivelmente revelando o remetente original por meio do cabeçalho X-Forwarded-For.
Infelizmente, esse ataque não foi totalmente contido de forma rápida e causou várias horas de indisponibilidade para os usuários reais. Após ativar manualmente os mecanismos avançados de proteção do Deflect e ajustar a configuração da origem, o site voltou a funcionar normalmente.
Uma organização zambiana de defesa da democracia sofreu dois ataques entre os dias 8 e 9 e 11 e 12 de agosto. Parece que, quando os invasores voltaram pela segunda vez, não haviam aprendido a lição e tentaram uma técnica semelhante, utilizando uma botnet quase idêntica.
Servidores de diferentes países (principalmente Estados Unidos, Alemanha, Rússia e França) estavam enviando mais de 16 milhões de solicitações GET / e /s=87675957 (com números aleatórios para contornar o cache) durante a primeira onda de ataques. Durante o incidente seguinte, mais de 137 milhões de solicitações maliciosas foram registradas e bloqueadas.
A maioria desses endereços IP é conhecida como servidores comprometidos que poderiam ser usados como proxies e roteadores MikroTik. Foram utilizados 383 cabeçalhos User-Agent distintos, todos eles variações do Google Chrome. Também podemos observar cerca de 400 nós de saída da rede TOR que foram utilizados nesse ataque.
O primeiro ataque não foi totalmente mitigado devido ao seu perfil, e parte do tráfego conseguiu atingir o servidor de origem, resultando em várias horas de indisponibilidade parcial para visitantes reais durante diferentes fases desse ataque. O segundo ataque foi totalmente mitigado, pois já tínhamos atualizado nossos perfis de mitigação.
