Estudo e discriminação de tráfego

O estudo de modelo de tráfego se baseia no modelo de cálculo de probabilidades, onde é possível determinar os possíveis motivos pelos quais houve o aumento desproporcional de tráfego.

Uma das metodologias abordadas é o uso de metadados (dados sobre dados) que analisam o tráfego da rede levando em consideração a data de modificação da aplicação (website) e a relevância que a página possui na Internet (Google Page Rank).

Figura 3: Níveis de Relevância e Níveis de modificação do site. (Adaptado de DANTAS, 2013 [7])

Utilizando essas métricas é possível fazer uma análise probabilística onde é possível entender e antecipar o aumento do número de acessos ao website.

Por exemplo, um site que foi modificado recentemente, e o seu nível de relevância tem aumentado gradualmente indica que aqueles acessos podem se aproximar de um momento de pico, e esse cálculo também é importante no momento de diferenciar acessos legítimos de acessos executados por bots.

Como pode ser exemplificado, na próxima tabela, gerada a partir de treinamento de rede baysiana utilizando o log de acessos de uma determinada aplicação e a categorização posterior de ataques DDoS e acessos espontâneos.

Figura 4: Probabilidade de Detecção de Anomalias (Adaptado de DANTAS, 2013 [7])

Uma vez treinada a tabela, é possível categorizar com grau de 80% de certeza se um serviço deve ou não ser negado.

Previsão de Demanda e Sazonalidade

Este método de prevenção baseia-se na mesma lógica de previsão de demanda de determinado produto ou serviço de alguma empresa. Assim como temos sazonalidade de consumo de produtos nas empresas, os acessos aos sites também podem apresentar bastantes variações durante o ano, o que pode implicar em variações bruscas do volume acesso em determinadas épocas, do ano, do mês ou até mesmo âmbito da semana.

Um determinado site de e-commerce, por exemplo, pode ter seu volume de acesso bastante elevado próximo a datas festivas, como nos dias próximos ao natal. Já um banco pode esperar picos de acesso em seus sites nos últimos dias e nos primeiros dias do mês, por se tratarem dos dias mais recorrentes para recebimento de salários e pagamentos de contas. Enquanto que um site de cinema tenderá a ter muita procura nas sextas-feiras, sábados e domingos.

Para obter esta previsão, pode-se realizar um benchmarking de sites com perfil parecido ao site analisado, mas que já tenham um histórico de utilização mais amplo. Assim, aplicando-se uma proporcionalidade média entre o volume de acessos entre o site em questão e os sites estudados, pode-se utilizar a sazonalidade observada, para adequar a sua capacidade de acessos, em função da previsão de demanda de acessos calculada.

Simulação

Efeito Slashdot, Flash Crowd e ataques DDoS causam danos substanciais a reputação da aplicação e ao tráfego de dados no servidor. Esse impacto extremamente negativo inspirou os pesquisadores de segurança de redes a compreender melhor esses eventos e desenvolver ferramentas que ajudem a resistir o aumento inesperado do número de acessos.[3]

Uma metodolodia muito utilizada é a simulação, mas para usa-la é necessário compreender as diferenças entre acessos maliciosos (ataques DDoS) e acessos espontâneos de usuários legitimos ( FlashCrowd ou SlashDot). O característica mais significativa do tráfego de acessos espontâneos é que esse tráfego é flutuante e pode se parecer com uma onda aleatória zig-zag devido ao número dinâmico de usuários no sistema, enquanto nos ataques maliciosos, esse número continua estável[4]. Veja, na Figura 5, mais caracteristícas de comparação entre os dois tipos de tráfego de acesso.

Figura 5: Tabela de comparação entre tráfego malicioso e não malicioso (Adaptado de PRASAD et al.[4])

O número de usuários acessando o servidor ou aplicação aumenta gradualmente até atingir um momento de pico dependendo do tempo que a notícia ou menção demora a se espalhar pela Internet. E quando o servidor falha em prover o serviço devido a alta demanda, os acessos vão diminuindo gradualmente, como pode ser visto na modelagem de taxa de tráfego (traffic rate) e o resultado da simulação desenvolvido pela ferramenta apresentada no artigo [4].

Figura 6: Tabela de comparação entre tráfego malicioso e não malicioso (Adaptado de PRASAD et al.[4])

A Figura 7, abaixo, mostra uma simulação de ataque DDoS comparando os hits por segundo de um bot (ferramenta que usa técnicas maliciosas para derrubar um servidor) e hits humanos a partir de uma análise estatística levando em consideração registros de acessos anteriores.

Figura 7: Simulação de ataque DDoS (Adaptado de PRASAD et al.[4])

Prevenção a ataques

Com a inclusão digital e o crescente número de usuários de computadores e internet que passam cada vez mais tempo na rede, foi necessário que o estudo de detcção de DDoS e diferenciação de acessos esponêos avançasse e produzissem ferramentas de prevenção de ataques, permitindo acessos “relâmpago” e bloqueando bots.

A tabela abaixo correlaciona 5 artigos no decorrer dos anos e mostra a evolução das ferramentas.

A prevenção aos ataques DDoS se baseiam em detectar anomalias de acessos e diferenciar os usuários legítimos de bots e diminuir as categorizações erradas (falsos positivos), visando mitigar ao máximo negar serviços a acessos espontâneos.