Threat Hub
Visualização por ataques
Quais tipos de ataque estão disponíveis ?
No momento, apenas ataques detectados pelo DDoS Protection estão disponíveis na visualização por ataques. Porém, em breve, ataques identificados por outras ferramentas de segurança da GoCache estarão disponíveis nessa visualização.
Como visualizar ataques DDoS no Threat Hub ?
Para visualizar ataques DDoS no Threat Hub, o primeiro passo é selecionar um ataque na lista disponível na página de visualização por ataques. Uma vez selecionado, você verá a seguinte tela:
Seguindo a ordem da esquerda para a direita e de cima para baixo, o primeiro gráfico, “Volume do ataque vs outras requisições” exibe como o tráfego total do site se compõe entre as requisições identificadas como DDoS e as demais requisições no momento do ataque. Esse gráfico também exibe a tendência esperada do tráfego, representada por uma média móvel das requisições identificadas como não sendo DDoS. Também se encontra nesse gráfico uma marcação do momento em que a GoCache identificou o ataque.
A partir deste gráfico é possível entender a eficiência da mitigação. Se a área em azul, denominada “Outras requisições”, seguir estável durante aumento de tráfego proporcionado pelo ataque, significa que a identificação das requisições envolvidas foi assertiva. Mas caso haja uma elevação, significa que parte do ataque não foi devidamente identificada. Também existe a possibilidade de ocorrer uma queda durante esse período, o que significa que a aplicação sofreu alguma degradação e não conseguiu servir todas as requisições.
Por fim, a marcação do horário da detecção ajuda a entender quanto tempo a GoCache demorou para reconhecer o ataque, dado pela diferença entre o início da área vermelha e a marcação. Já a diferença dessa marcação e o final da área vermelha, indica quanto tempo levou para neutralizar o ataque.
O segundo gráfico, “Camadas que absorveram o tráfego”, mostra qual foi o destino de todas as requisições para a aplicação durante o período do ataque. Existe uma latência de alguns segundos entre o início do aumento repentino de tráfego e sua detecção e neutralização por parte do DDoS Protection, por isso é interessante haver redundância com outras ferramentas da GoCache para a aplicação ser protegida mesmo durante esse período. A partir dele, é possível enxergar se um percentual grande das requisições do ataque durante este período atingiu a aplicação e, se não, quais ferramentas foram responsáveis por interceptar o tráfego.
Para minimizar o impacto à aplicação, algumas estratégias podem ser criadas. Por exemplo, na maioria dos casos, os IPs envolvidos em um DDoS são originados de diversos países. Você pode identificar quais aparecem com mais frequência durante os ataques e caso não faça sentido para a aplicação receber tráfego desses países, eles podem ser incluídos em um bloqueio do Firewall. Ou então você pode configurar um Rate Limiting mais restrito para URLs que são alvos frequentes de DDoS. Quanto menor a elevação da área correspondente ao tráfego absorvido pela aplicação, melhor.
Abaixo do gráfico citado anteriormente, podemos ver os gráficos “Taxa de erros” e “Tempo de resposta da origem”. O propósito de ambos é similar, porém evidenciam diferentes recortes. Os principais sinais de degradação de uma aplicação durante um ataque DDoS são o aumento da geração de erros e lentidão. O primeiro gráfico exibe a taxa dos principais tipos de erros exibidos durante ataques, enquanto o segundo mostra quanto tempo em média a aplicação demora para enviar uma resposta às solicitações.
Na página de visualização de ataques DDoS também há as seguintes tabelas: “URLs Alvo”, “IPs do ataque”, “Países de origem do ataque”, “ASN dos IPs do ataque” e “User Agents do ataque”. Todos eles exibem a contagem de requisições para cada característica, considerando apenas as requisições identificadas como envolvidas no ataque.