¶ O que é o FlowSpec?
FlowSpec, ou Especificação de Fluxo, refere-se a uma abordagem na configuração de políticas de tráfego de redes. Ele permite uma definição mais granular e precisa das regras de encaminhamento e controle de fluxo, possibilitando uma adaptação dinâmica aos diferentes tipos de ataques DDoS em direção as nossas redes.
¶ Pra que serve um template de FlowSpec?
O template de FlowSpec é uma estrutura predefinida que simplifica o processo de criação e implementação das regras de FlowSpec. Ele funciona como um modelo padronizado, fornecendo uma base consistente para configurações específicas de política de tráfego de rede. Esse modelo pode incluir parâmetros como endereços de origem, endereços de destino, protocolo, portas e outras características relevantes.
À medida em que os ataques DDoS mudam, os templates de FlowSpec oferecem flexibilidade para realizar ajustes dinâmicos nas políticas de tráfego de rede. Isso permite uma resposta ágil a mudanças nas condições de rede, garantindo uma adaptação eficiente à essa constante evolução.
¶ Criando um template de FlowSpec
Para iniciar, vamos criar um template de FlowSpec para nos proteger contra os ataques de amplificação DNS, que representam uma ameaça significativa explorando vulnerabilidades no protocolo DNS para inundar alvos com tráfego excessivo.
Diferentemente de anúncios RTBH, no FlowSpec temos a opção de utilizar medidas proativas de rate-limiting, visando não cortar totalmente o tráfego de rede, mas sim, deixar passar alguns bits para tentar deixar uma melhor percepção ao alvo do ataque do que simplismente corta-lo totalmente da internet.
Para mitigar especificamente estes tipos de ataques que teem como característica padrão, um envio de muitos pacotes com porta de origem 53 utilizando o protocolo UDP, vamos desenvolver um template de FlowSpec que bate de frente com estas características, adicionando um rate-limit um pouco acima do que o habitual para do dia a dia:
¶ Adicionando açoes de FlowSpec
Agora que ja temos o template de FlowSpec, vamos criar algumas açoes e respostas automáticas para novas anomalias detectadas com esta assinatura: