RES: [GTER] Ataques de DDoS, será que existe uma solução ?

Pousada Virtual - André Marcelo atendimento at pousadavirtual.com.br
Sat Apr 15 15:32:39 -03 2006 

Olá Marcelo, 

De todos os que eu já trabalhei, o que tem a melhor proteção contra DDOS é a
http://www.sharktech.net/ eles têm um ótimo sistema que capta os logs e
envia aos abuses at dominios que estão atacando, solicitando providências. Mas
como nem tudo são flores, o datacenter peca muito em outras coisas,
principalmente no suporte que é super demorado. Só subo máquinas lá quando
minha opção 1 não dá mais conta (coisa rara de acontecer).

A opção 1 é a www.theplanet.com que em caso de DDOS o trafego é direcionado
para os Cisco Guards que separa o joio do trigo. Por ex:

http://www.pousadavirtual.com.br/ddos/ddos.jpg esse é um gráfico gerado pelo
cisco guard do último DDOS grande que levei, chegando a 670.000.000 bps e
1.300.000 pps. E mesmo com todo esse ataque, o servidor continuou
funcionando normalmente. Foi questão de 15 minutos entre eu avisar do ataque
ao datecenter e eles colocarem o servidor sob proteção do cisco guard.

Há outras soluções como a deste site: http://www.ddosprotection.com mas aí o
TCO do seu negócio acaba ficando bem alto, pois quanto maior o DDOS mais
caro fica, e acaba não compensando contratar o serviço.

Infelizmente esse é um problema que temos que conviver e correr o risco,
pois sinceramente não vejo a curto/médio prazo alguma solução 100% para nos
protegermos. 

[s]

André.






-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Marcelo Carvalho
Enviada em: sábado, 15 de abril de 2006 09:30
Para: 'Grupo de Trabalho de Engenharia e Operacao de Redes'
Assunto: RES: [GTER] Ataques de DDoS, será que existe uma solução ?
Prioridade: Alta

André,

Você poderia citar alguns desses data centers?

 
 
Obrigado,
 
Marcelo Carvalho
 
 
 
-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Pousada Virtual - André Marcelo
Enviada em: sábado, 15 de abril de 2006 00:40
Para: 'Victor'; 'Grupo de Trabalho de Engenharia e Operacao de Redes'
Assunto: RES: [GTER] Ataques de DDoS, será que existe uma solução ?

Olá Victor,

Se o ataque está vindo de apenas uma única máquina, ele é apenas um DOS.
veja qual o ip dela, dê um whois no ip e descubra qual e-mail para entrar em
contato, geralmente abuse at datacenter.com. Envie um e-mail com os logs do
seup iptraf ou /var/log/messages para o e-mail que em no máximo algumas
horas a máquina será desligada.

Outra coisa para amenizar a situação, escolha um datacenter que ofereça
serviços melhores contra DOS e DDOS. Infelizmente são um pouco mais caros
que a Layered Tech mas no final compensa e muito. Há datacenters nos EUA que
em caso de DDOS, são ativados um ou mais cisco guards na entrada do backbone
e o servidor continua funcionando de boa. 

[s] 

André.

-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Victor
Enviada em: sexta-feira, 14 de abril de 2006 20:20
Para: gter at eng.registro.br
Assunto: [GTER] Ataques de DDoS, será que existe uma solução ?

Boa noite amigos,

Venho aqui porque estou totalmente desesperado refente a ataques de DDoS.
Sabemos que todo pacote mesmo que descartado ou negado tem de chegar ao seu
destino e consequentemente se a carga de pacotes superar o link da maquina
em questão o congestionamento e saturação do link é gerado e assim acontece
o DDoS. Já ouvi varios dizendo que basta bloquear certos fragmentos de
pacotes que resolve o problema, mas isso na pratica não funciona, pois como
mensionado, descartado ou não, o pacote CHEGA do mesmo jeito ao seu destino.
Sendo assim, não vejo nenhuma solução que realmente funcione que possa ser
tomada na propria maquina que esta sendo atacada e não no backbone da
empresa.
Atualmente aluguei uma maquina com a Layered Tech e estou sofrendo ataques
de uma maquina de 155 Mbps de Amsterdan-NL sobre o meu link de 100 Mbps e
lamentavelmente os "técnicos" da Layered dizem que não podem bloquear o IP
no backbone e eu que tenho que me virar, desativar o IP que esta sendo
atacado da minha eth ou ativar o firewall (SEM COMENTARIOS).
O que eu pergunto para o pessoal da lista é: O que eu posso fazer para
acabar de vez com esse problema ou ao menos amenizar ?


Abraços a todos e boa noite.

--
gter list    https://eng.registro.br/mailman/listinfo/gter


--
gter list    https://eng.registro.br/mailman/listinfo/gter


--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list