Ajudam a combater os ataques DDoS e as medidas de segurança intercetam as ameaças da camada de aplicação.
Por Tim Greene
Se há uma grande lição sobre a disponibilidade da Internet, ela pode muito bem vir da Ucrânia, onde após um ano de guerra a Rússia falhou em derrubar a sua rede. De acordo com um estudo da ThousandEyes, tentativas repetidas de perturbar o acesso a sites chave locais foram ocasionalmente bem-sucedidas, mas apenas por curtos períodos de tempo.
A estratégia defensiva mais eficiente provou ser a de alojar conteúdos sobre as infraestruturas dos fornecedores globais. “As perturbações ao nível da rede foram negligenciáveis, e a segurança da camada de aplicação implementada para a maioria destes sites permitiu um bloqueio direcionado do tráfego (por exemplo, de locais russos), ao mesmo tempo que permitiu que os sites permanecessem largamente disponíveis para utilizadores legítimos”, afirma o estudo.
Além disso, a empresa descobriu que duas outras opções de alojamento (fornecedores regionais fora da Ucrânia e dentro do país) eram menos resilientes. A ligação aos websites para verificar a sua disponibilidade e velocidade revelou o estado das páginas do ponto de vista da rede e da aplicação. Também mostrou o tipo de ações que os administradores ucranianos estavam a tomar. Por exemplo, nas semanas que antecederam o conflito, alguns destes sites, particularmente os sites bancários, começaram a migrar o seu conteúdo para fornecedores globais. Isto tornou-se uma tendência após o início da guerra.
Estes fornecedores são difíceis de derrubar através de um ataque DDoS a uma camada da rede, porque estão amplamente distribuídos. Também têm os recursos para se defenderem contra ataques na camada de aplicação, que são mais difíceis de bloquear. Este não foi o caso dos sites alojados na Ucrânia, onde os problemas relacionados com a rede têm sido mais comuns, com elevados níveis de perda de pacotes indicando que um site estava a utilizar o BGP para bloquear todo o tráfego, por vezes durante dias. “Assim, houve muitos problemas com a perda de tráfego. Mas não observámos realmente esse tipo de comportamento nos alojados globalmente”. Entidades na Ucrânia estavam também a bloquear o tráfego proveniente da Rússia, especificamente Moscovo e São Petersburgo.
Para sites alojados por fornecedores regionais que não têm uma presença global, a disponibilidade era superior à dos sites alojados no país, mas inferior à dos fornecedores globais. “Os fornecedores regionais de alojamento podem tirar partido de uma combinação de proteção na camada de aplicação e na camada de rede contra ataques cibernéticos, mas podem ser vulneráveis a ataques de alto volume quando um sítio alvo é alojado num único centro de dados”, disse a ThousandEyes.
Houve casos em que o ponto de vista ThousandEyes utilizado em Kharkiv foi incapaz de chegar a qualquer sítio durante alguns dias devido a problemas de infraestrutura no terreno. “De facto, foi-nos dito que isto se devia a alguns bombardeamentos, mas depois a ligação foi restabelecida e não houve qualquer problema”, disse Medina.
“MilEyes também notou esforços dentro da Rússia para bloquear determinado tráfego de chegar a utilizadores dentro do país. Num caso, aparentemente por engano, uma configuração de rede num ISP russo resultou no sequestro de tráfego destinado ao Twitter.”, disse Medina. Este é um exemplo que todas as organizações devem estar cientes, especialmente quando as condições políticas podem resultar no sequestro intencional do BGP.