=?ISO-8859-1?Q?Re:_[GTER]_Ataques_de_DDoS, _?= será que existe uma solução ?

[Rubens Kuhl Jr.]

Victor,

Existem muitas táticas de ataques (D)DoS, então qualquer recomendação
do que bloquear especificamente vai falhar em algum cenário. O que
você precisa é conter o ataque num ponto anterior ao que ele causa o
efeito de negação de serviço; então se seu link está sendo saturado,
quem precisa filtrar é sua prestadora de serviços.

Não há como acabar com esse problema, só como lidar com ele. E a
primeira coisa para lidar com DoS é cooperação do seu prestador de
serviços; mostre a ele que ele não atende suas necessidade trocando de
fornecedor.

Agora, para uma solução que não depende imediatamente do seu ISP, você
poderia contratar um link burstable de 1Gbps com limitação sua de 100
Mbps de saída e cobrança por 95-percentile. Assim, se um ataque
acontecer, ele precisaria ter um poder de 1 Gbps Mbps (o que já exige
em geral um DDoS, e não apenas DoS) para atrapalhar suas operações
acima da sua capacidade de resposta. Ao perceber um problema, você
informaria o NOC do seu ISP para filtrar um certo padrão de tráfego
(IP origem, por exemplo), e no final do mês esse pico não vai
influenciar na sua conta. Descontar tráfego de DoS é inclusive já
previsto em alguns contratos de hosting.



Rubens



On 4/14/06, Victor <victor_volpe at bol.com.br> wrote:
> Boa noite amigos,
>
> Venho aqui porque estou totalmente desesperado refente a ataques de DDoS.
> Sabemos que todo pacote mesmo que descartado ou negado tem de chegar ao seu
> destino e consequentemente se a carga de pacotes superar o link da maquina
> em questão o congestionamento e saturação do link é gerado e assim acontece
> o DDoS. Já ouvi varios dizendo que basta bloquear certos fragmentos de
> pacotes que resolve o problema, mas isso na pratica não funciona, pois como
> mensionado, descartado ou não, o pacote CHEGA do mesmo jeito ao seu destino.
> Sendo assim, não vejo nenhuma solução que realmente funcione que possa ser
> tomada na propria maquina que esta sendo atacada e não no backbone da
> empresa.
> Atualmente aluguei uma maquina com a Layered Tech e estou sofrendo ataques
> de uma maquina de 155 Mbps de Amsterdan-NL sobre o meu link de 100 Mbps e
> lamentavelmente os "técnicos" da Layered dizem que não podem bloquear o IP
> no backbone e eu que tenho que me virar, desativar o IP que esta sendo
> atacado da minha eth ou ativar o firewall (SEM COMENTARIOS).
> O que eu pergunto para o pessoal da lista é: O que eu posso fazer para
> acabar de vez com esse problema ou ao menos amenizar ?
>
>
> Abraços a todos e boa noite.
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>