[GTER] globo.com

[Marcio Gomes]

 > Blackhole é mandar para o sink-hole mesmo... é difícil encontrar um

>>backbone, mesmo nos EUA, que tenha como desviar o tráfego para uma
>>    
>>
>estrutura
>  
>
>>de análise e reação. O que é mais comum é algum que possa fazer um
>>    
>>
>sampling
>  
>
>>do tráfego (recurso interessante do fabricante 2... :-), e baseado nisso
>>aliviar de blackholing para filtragem especializada.
>>    
>>
>
>bom, o que eu estava falando era o sinkholing mesmo. E se algum backbone faz
>na realidade, não sei. Mas, como eu tinha dito antes, na nanog 23 o pessoal
>da uunet fez uma apresentação disso:
>http://www.nanog.org/mtg-0110/greene.html
>


Na minha opiniao o maior problema da internet BR com relacao
aos DDOS tem sido a baixa velocidade de resposta de alguns backbones,
acredito ate' que todos, com relacao a aplicacao dos black holes ou seja
la' o que seja determinado por eles como mais eficiente.


>
>esse sampling de tráfego parece ser interessante, darei uma pesquisada.
>
>  
>
>>O perigo que eu vejo na atitude da Globo.com e deixar que outros
>>    
>>
>determinem
>  
>
>>coisas que deveriam pertencer ao livre-arbítrio dela, como por exemplo se
>>eles devem ou não atender usuários internacionais. Me parece um precedente
>>perigoso, e a auto-determinação um valor intangível que deveria justificar
>>investimentos mesmo sem retorno financeiro evidente.
>>    
>>
>
>vamos ver o que fazem. estou à mercê deles.
>  
>

E' normal experimentar demoras de 1 a 2 horas p/ aplicacao dos mesmos,
sem levar em conta que muitas vezes quando solicitados ou discutem a 
validade
da implementacao em borda internacional ou aplicam de forma errada.

Trigger Remoto dos Black Holes por BGP  ate' onde tentamos nem pensar. 
Esse e' o
principal foco da implementacao blackhole que permite aos AS's que fazem 
transito
pelos grandes backbones nacionais a ter uma certa autonomia sobre os 
blackholes que
deseja implementar e retira-los ou coloca-los p/ analise e sampling do 
trafego de acordo
com seu interesse. Nao conheco um backbone nacional que admita ter em 
suas communities
a implementacao blackhole de forma "wide" p/ os seus clientes de transito.


>  
>
>>>Quanto ao dinheiro, concordo. Mas, e se eu decidisse pagar hoje o
>>>      
>>>
>serviço
>  
>
>>do
>>    
>>
>>>portal da globo.com?
>>>      
>>>
>>Enquanto isso não agregasse um número significante de pagantes no
>>    
>>
>exterior,
>  
>
>>ainda não justificaria investimento.
>>    
>>

O cu$to e' um fator que faz parte na implementacao de qualquer rotina, 
mas preferir
que o cliente ligue p/ um call-center que so' sabe perguntar "qual o seu 
ip que esta'
sendo atacado e qual e' origem" e concluir que isso nao e' um custo 
adicional a nivel
de gerencia de problemas e escalonamento e' brincadeira.


>Um dos motivos que me levava a trazer toda a reação para dentra da
>  
>
>estrutura
>  
>
>>era justamente o receio de bloqueios esquecidos em lugares remotos...
>>    
>>
>houve
>  
>
>>um episódio em que a UUNET manteve um filtro que tinha sido colocado a
>>pedido da EBT, e depois não havia cristo que conseguisse fazer com que
>>aquele filtro sumisse.
>>    
>>
>
>acredito piamente nisso.
>  
>

Sim o que nos obriga a ter custos maiores de tracking desses filtros, 
ligacoes sucessivas aos
Call Centers dos Upstream Providers e discussoes infindaveis sobre a 
retirada, permanencia
de forma definitiva ou ate' mesmo forma de implementacao de filtros por 
estes.

O problema de trazer a reacao p/ dentro da estrtura com as ferramentas 
script-kidies que se
tem hoje e' que termina-se por ter que admitir no backbone trafegos de 
cerca de 50Kpkts para
um E3 por exemplo.

Condicoes como esta poderiam ter rapida resposta se houvesse interesse 
em implementacoes
funcionais, onde sua nao existencia nao seja a justificativa p/ venda de 
um "servico de seguranca
e Firewall" por parte do backbone.

A ausencia de respostas eficientes, estimula cada vez mais o uso deste 
tipo de ataque uma vez que
o tempo minimo que se consegue de "outage" e' de 1 a 2 horas.  O que 
tenho visto hoje a nao ser
em raros casos que foram bem estrturados no design do ataque e' que logo 
que voce coloca o
ataque internacionalmente p/ /dev/null o mesmo cai vertiginosamente de 
incrementacao na
borda internacional.  Aqui vale o mesmo principio que como 90 % do 
trafego e' nacional, o atacante
sente que o efeito desejado nao foi conseguido e muda o foco ou desiste, 
mas como a velocidade
de resposta e' lenta, eles terminam por ter um sucesso parcial.

[]s
Marcio Gomes


>  
>
>>Isso me lembra uma história que vi em "Babylon 5", sobre um local do
>>    
>>
>gramado
>  
>
>>do palácio real em que sempre havia um guarda. Não havia nada de
>>    
>>
>estratégico
>  
>
>>ali a ser guardado, mas havia sempre um guarda naquela posição... o que
>>havia acontecido é que gerações antes a filha do rei tinha ficado
>>    
>>
>encantada
>  
>
>>com uma flor que nascera ali. O rei ordenou guarda permanente para que
>>ninguém pudesse estragar a flor, e séculos depois ninguém questionava
>>    
>>
>porque
>  
>
>>havia a ordem de manter guarda ali...
>>    
>>
>
>o mesmo do conto dos macacos que tomavam choque quando tentavam pegar algo
>no teto de uma jaula. depois de um tempo, não precisava-se mais dar choque,
>nenhum macaco tentava mais pegar o negócio.
>Na sua história eu sou a pessoa que questiona a ordem de manter o guarda
>ali.
>
>  
>
>>A visão do usuário para um serviço oferecido gratuitamente nos dias de
>>    
>>
>hoje
>  
>
>>pode ser a mesma dos áureos tempos: o serviço adotou alguma atitude que
>>    
>>
>não
>  
>
>>o agrada, mude de serviço e espalhe para sua rede de contatos sua
>>insatisfação. Mas é preciso encarar esse poder de uma forma realista; por
>>exemplo, o que motiva um tomador de decisão da Globo.com ? Resposta: o
>>balancete(dinheiro entrando), e o relatório de audiência do Ibope
>>(posicionamento de mercado, possibilidade de conquistar novos negócios).
>>    
>>
>
>não foi essa a justificativa apresentada aqui na lista pela Globo. Se for,
>eu gostaria de ouvir deles e saio procurando um proxy aberto (sugestões de
>algum?)
>
>quero ver um dia a globo.com vir para fora do Brasil e for fazer um
>apresentação dos serviços deles e não funcionar.
>
>  
>
>>Como o relatório do Ibope é de pesquisa apenas em território nacional, a
>>audiência internacional não importa muito...
>>    
>>
>
>bom, eles tem a Globo internacional por satélite :-)
>
>  
>
>>Diga isso para quem tentava acessar um .mil aqui do BR... anos se passaram
>>para que isso voltasse a ser possível.
>>    
>>
>
>bom, americano, em geral, não é muito cooperativo, é arrogante e só pensa
>nele mesmo. Por isso, a sua frase acima não me espanta, e o Brasil não
>deveria seguir o mesmo padrão.
>fotos e impressões digitais tudo bem :-)
>
>  
>
>>Esse é coerente inclusive com notíciário recente (não lembro da fonte ou
>>link, lamento), em que foi divulgada que a Globo.com deixou de ser uma
>>unidade de negócios independente e passou a ser uma central dentro da Rede
>>Globo.
>>    
>>
>
>isso explica tudo.
>
>  
>
>>E que na minha opinião faz muito sentido: depois do estouro da bolha não
>>    
>>
>faz
>  
>
>>mais sentido uma operação de Internet "pura", e sim a Internet como mais
>>    
>>
>uma
>  
>
>>mídia de um grupo de comunicação. O casamento telco e comunicação se
>>    
>>
>desfez,
>  
>
>>e agora ambos praticam uma relação aberta...
>>    
>>
>
>é isso aí.
>
>[]s
>le
>
>--
>GTER list    https://eng.registro.br/mailman/listinfo/gter
>  
>