[GTER] FloodGuard e DRDoS

[Rubens Kuhl Jr.]

> Bem, concordo contigo que eh muito complicado detectar quando voce tem
suas
> instancias de BGP atacadas, mas quando você sofre o flood nao eh tao
> complicado assim...

Eu tenho de fato ouvido falar muito pouco de ataques visando comprometer o
caminho para o alvo ao invés do alvo final; parece que a nova geração de
DoSers tem um perfil muito mais script-kiddie do que a anterior.

> Eu não conheço nenhum tipo de flood que venha de um GSR ou de um M-XX com
> links de core. Provavelmente esse ja seria um forte indicio de DRDoS...Nao
> creio que seria incomum termos visto ataques deste tipo contra nossos
ativos...

Você pode implantar na sua rede algum imã de DoS para ver o que tentam fazer
ele... os imãs mais poderosos que eu conheço são os servidores de IRC,
coloque um de cada rede brasileira e internacional e logo você deve ter uma
boa idéia das tendências do setor...

Algo que eu acho particularmente interessante que um backbone tenha para
obter inteligência (não no sentido QI mas no de informação) é um coletor de
backscatter; isso funciona interceptando nos roteadores customer-edge
tráfego endereçado a redes não alocadas(o que dá para fazer apenas com
roteamento padrão, desde que bem controlado para que esses anúncios não
vazem). Esse é um sintoma típico de que o cliente está sendo atacado por IPs
spoofed, e um bom mecanismo de alerta de DDoS (mas ineficaz para perceber
DRDoS).


Rubens