[GTER] RES: Ataque Ddos

[System Admin]

> Como bloquear 5000 endereços ? E o pior: Porque bloquear esses 5000 
> endereços já que a origem pode não ser nenhum deles ?




Pessoal,

Não acompanhei toda a discusão mas uma maneira de evitar ddos é bloquear a
saida da máquina que está sendo atacada
Ou melhor tentar reduzir a quantidade que ela pode responder por segundo.
Porque em ataques distribuidos proibir a entrada quase nunca resolve.

Geraldo Coelho


 

-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Rubens Kuhl Jr.
Enviada em: quinta-feira, 19 de outubro de 2006 09:50
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Ataque Ddos

On 10/19/06, Antonio Carlos Pina <antoniocarlospina at gmail.com> wrote:
> Não é só isso por isso que evita-se ACL. Dependendo do tamanho do 
> ataque, a filtragem por ACL pode "derrubar" um roteador de grande porte
facilmente.
> Por isso usa-se mundialmente a filtragem por ip route para null.

No caso do fornecedor citado, a Embratel, os roteadores internacionais são
de um fabricante diferente ("fabricante 2", se alguém lembrar das minhas
palestras no GTER) do que ela usa normalmente em seu backbone("fabricante
1"), justamente para permitir filtragens por ACL sem esse tipo de impacto.

> A filtragem por ACL também não se aplica se o perfil do tráfego for 
> muito variado, complexo ou endereçado à portas de serviço "normais", 
> por exemplo milhares de origens spoofed enviando o ataque para sua porta
tcp 80.

O esforço de caracterização é uma tarefa certamente complexa, mas há
produtos para isso. Quer por análise de flows nos roteadores da operadora,
quer por redirecionamento de todo o fluxo do cliente para um dispositivo de
análise.

> Como bloquear 5000 endereços ? E o pior: Porque bloquear esses 5000 
> endereços já que a origem pode não ser nenhum deles ?

Se a conclusão da caracterização for de IP spoofing, de fato não há outra
saída. Mas muitos dos ataques hoje são feitos com IPs reais de máquinas
zumbis, para fazer conexões que conseguem fechar o 3-way handshake e gerar
requisições válidas. O fato de syn-flood poder ser contido usando
syn-cookies, syn-proxies ou equivalentes torna esse ataque menos atrativo.

> DDoS é um problema em que a solução é sempre na base do "best effort".

Com direito a "better effort" para clientes maiores ou serviços da própria
operadora, e a "not so much effort" para os outros.

> Quem diz que tem a solução "limpa" para DDoS está mentindo.

Uma solução com redirecionamento do tráfego para um ponto de mitigação e
posterior devolução para o cliente é o mais próximo de uma solução "limpa"
de que a tecnologia atual dispõe, mas não há notícia de serviço assim estar
disponível no .br.


Rubens
--
gter list    https://eng.registro.br/mailman/listinfo/gter

--
No virus found in this incoming message.
Checked by AVG Free Edition.
Version: 7.1.408 / Virus Database: 268.13.6/486 - Release Date: 19/10/2006
 

-- 
No virus found in this outgoing message.
Checked by AVG Free Edition.
Version: 7.1.408 / Virus Database: 268.13.6/486 - Release Date: 19/10/2006