Data de Inicio
03/06/2025 12:01
Data de Término
03/06/2025 12:51
Número do Casso
03989354
Problema
No dia anterior à queda do sistema, havíamos feito uma reunião com o cliente e o operador logístico que reclamava de indisponibilidade nas chamadas de API, analisamos que o servidor estava com um provável Loop nas configurações e que poderíamos melhorar a estrutura removendo o servidor do HAProxy, colocar um IP interno do servidor de aplicação e manter apenas o IP que o operador logístico havia nos passado, o que acabou não funcionando e voltamos à analisar o problema. mas às 12:01 notamos que o servidor perdeu a conexão com o banco de dados e também com o site de licenças, na verdade todo o serviço de nomes (DNS) estava comprometido. O time do datacenter após uma investigação do problema refez a tabela de tradução de endereços de rede (NAT) e o sistema voltou à funcionar corretamente. E após uma análise mais critica do ocorrido com o operador logístico identificamos uma tentativa de bloqueio de serviço distribuída (DDoS) através de uma grande invasão de pacotes de Sincronização (SYN-FLOAD).
Solução
Foi necessário colocar o servidor do cliente atrás de um Firewall com Detecção de intrusões em servidores e detecção de Intrusão de redes (IDS/HID), essa tarefa foi agendada para ser feita após as 20 horas do dia 3, e hoje resolveu o problema de perdas de conexão da API segura (HTTPS)
Artigos relacionados
https://www.cloudflare.com/pt-br/learning/ddos/syn-flood-ddos-attack/