Desde o início de setembro, a Cloudflare tem sido o alvo de uma verdadeira guerra digital, enfrentando uma campanha implacável de ataques DDoS hiper-volumétricos de camadas L3/4. Ao longo de um mês, os sistemas de proteção da Cloudflare conseguiram mitigar mais de cem desses ataques monstruosos, muitos ultrapassando a marca de 2 mil milhões de pacotes por segundo (Bpps) e 3 terabits por segundo (Tbps). O maior ataque atingiu um pico histórico de 3,8 Tbps, tornando-se o maior já divulgado publicamente por qualquer organização. O mais impressionante? A deteção e mitigação foram 100% automáticas!

Os clientes da Cloudflare estão seguros!
Os clientes da Cloudflare que utilizam serviços de proxy reverso HTTP, como o WAF da Cloudflare e o CDN da Cloudflare, estão automaticamente protegidos contra este tipo de ameaça. Mesmo quem usa o Spectrum ou o Magic Transit beneficia dessa proteção automática. Além disso, os clientes do Magic Transit podem aumentar ainda mais a sua segurança, configurando regras de firewall personalizadas para garantir uma segurança ainda mais robusta no nível dos pacotes.

Atenção: Outros sites na internet podem não estar seguros!
A magnitude e frequência destes ataques ultrapassam tudo o que já foi visto antes. Com tamanha força, esses ataques têm a capacidade de derrubar propriedades digitais que não estejam protegidas de forma adequada. Até mesmo sistemas protegidos por equipamentos on-premise ou soluções de cloud com capacidade de rede limitada correm o risco de falhar, uma vez que não conseguem lidar com o tráfego massivo sem comprometer o desempenho.

No entanto, a Cloudflare destaca-se pela sua infraestrutura global e capacidade de rede incomparáveis, além dos seus sistemas inteligentes que conseguem absorver e mitigar estes ataques colossais de forma automática, sem que o desempenho dos seus clientes seja afetado.

Neste artigo, será analisada toda a campanha de ataque, explicando por que razão esses ataques foram tão devastadores. Além disso, será desvendada a anatomia de um ataque DDoS de camada 3/4, os seus objetivos e como eles são gerados. A seguir, será detalhado como os sistemas da Cloudflare foram capazes de identificar e neutralizar esses ataques brutais, sem causar interrupções aos seus utilizadores.

Consumindo ciclos de CPU de forma massiva
Processar um pacote exige ciclos de CPU, mesmo no tráfego normal. Um pacote legítimo provoca uma ação específica do serviço, e algumas dessas ações exigem maior capacidade de processamento. No entanto, antes mesmo de o pacote ser entregue a um serviço, é necessário fazer a análise dos cabeçalhos de camadas 3 e 4 para garantir que chegue ao destino certo. Durante um ataque, se o número de pacotes for elevado o suficiente, pode saturar os recursos de CPU, negando o serviço a utilizadores legítimos.

Para combater ataques com elevado volume de pacotes, é necessário identificar e descartar os pacotes maliciosos de forma eficiente, consumindo o mínimo possível de recursos de CPU, garantindo, assim, o processamento adequado dos pacotes legítimos.

Saturação da largura de banda
A largura de banda representa a quantidade máxima de dados que podem ser entregues a um servidor num determinado período de tempo. Pense nela como um cano de água: quanto maior o cano, mais água passa. Um ataque DDoS volumétrico sobrecarrega a “tubagem” com dados maliciosos, bloqueando tanto o tráfego malicioso quanto o legítimo.

Quando um ataque satura a largura de banda, defender-se pode ser complicado, já que, se a “tubagem” estiver saturada, há poucas opções além de aumentar a capacidade da rede ou redistribuir o tráfego para outros canais.

A criação dos ataques DDoS
Do ponto de vista dos atacantes, enviar pacotes também consome CPU, embora de forma mais eficiente do que a receção desses pacotes pela vítima. Para gerar um ataque bem-sucedido, os atacantes geralmente recorrem a botnets — redes de dispositivos comprometidos, como DVRs, webcams ou routers infectados com malware, capazes de criar um fluxo constante de pacotes.

A defesa da Cloudflare contra ataques massivos
A chave para a defesa robusta da Cloudflare está na sua rede global Anycast. Esta tecnologia permite que um único endereço IP seja anunciado por várias máquinas em todo o mundo, dispersando o ataque para diferentes regiões e prevenindo a sobrecarga de qualquer ponto único.

Nos datacenters, a Cloudflare utiliza sistemas de amostragem de pacotes, qualificando ataques em tempo real e criando assinaturas dinâmicas para bloquear o tráfego malicioso. A utilização de XDP (eXpress Data Path) e eBPF (extended Berkeley Packet Filter) permite que a Cloudflare processe pacotes de forma ultrarrápida, diretamente a partir da placa de rede, sem consumir muitos recursos de CPU.

Defesas poderosas para ataques poderosos
A Cloudflare vai além das assinaturas dinâmicas. Tecnologias avançadas, como a Proteção Avançada de TCP e DNS, em conjunto com inteligência artificial e análise em tempo real, tornam a rede da Cloudflare uma das mais robustas do mundo, garantindo proteção contra os maiores ataques já registados na história da internet.