Bloquear o ataque, deixar passar o tráfego legítimo
A mitigação é um termo utilizado para designar os meios e as medidas implementadas para atenuar os efeitos negativos ligados a um risco. Para resistir aos ataques DDoS, a mitigação consiste em filtrar o tráfego não legítimo e aspirá-lo através do VAC, deixando passar todos os pacotes legítimos.
O VAC é composto por vários equipamentos em que cada um assegura uma função específica de forma a bloquear um ou vários tipos de ataques (DDoS, Flood, etc.). Em função do ataque, uma ou várias estratégias de defesas podem ser implementadas em cada um dos equipamentos que compõem o VAC.
Os componentes do VAC
As ações realizadas sobre Pré-Firewall
- Fragmento UDP;
- Tamanho dos pacotes;
- Autorização dos protocolos TCP, UDP, ICMP, GRE;
- Bloqueio de todos os outros protocolos.
As ações realizadas sobre Firewall Network
- Autorizar/bloquear um IP ou uma subrede de IPs;
- Autorizar/bloquear um protocolo :
- IP (todos os protocolos);
- TCP;
- UDP;
- ICMP;
- GRE.
- Autorizar/bloquear uma porta ou intervalo de portas TCP ou UDP ;
- Autorizar/bloquear os SYN/TCP ;
- Autorizar/bloquear todos os pacotes exceto SYN/TCP.
As ações realizadas sobre Shield
- IP Header mal formado;
- IP Checksum incorreto;
- Checksum UDP incorreto;
- Limitação ICMP;
- Datagrama UDP mal fragmentado;
- DNS Amp.
As ações realizadas sobre Armor
- IP Header mal formado;
- Fragmento incompleto;
- IP Checksum incorreto ;
- Fragmento duplicado;
- Fragmento demasiado longo;
- Pacote IP / TCP / UDP / ICMP demasiado curto;
- Checksum TCP/UDP incorreto ;
- Flags TCP inválidas;
- Número de sequência inválido;
- Deteção de zombie;
- Autenticação TCP SYN ;
- Autenticação DNS ;
- Query DNS mal formada;
- Limitação DNS.
