[GTER] SYN FLOOD ATTACK

Antonio Carlos Pina antoniocarlospina at gmail.com
Tue Sep 26 10:22:03 -03 2006 

Pessoal,

Essa informação em nada muda o que foi discutido até o momento, pois ela
precisa ser implementada no upstream, dependendo do tamanho do ataque. Ou
seja, não é uma solução para a ponta, a não ser para ataques pequenos.

Nós recebemos aqui normalmente ataques de 150Mb/s, o que é até pequeno
comparado com o que temos lido.

Abs.



Em 26/09/06, Ewerton Vieira <evieira at arbor.net> escreveu:
>
> Boas noticias: Existe solucao para o problema. Esta implementada em varios
> provedores. E em breve devemos te-la implementada no Brasil (esta em
> testes
> nesse momento).
>
> Ha varias alternativas para mitigar um ataque de DoS, dependendo de como
> ele
> foi gerado. E' bem verdade que o pessoal anda cada vez mais criativo... O
> ponto chave e' a deteccao do ataque que vai te dizer qual a melhor forma
> de
> bloquear o ataque.
>
> Por exemplo, um ataque spoofed normalmente vai entrar por uma unica
> interface
> da rede, normalmente num router internacional. E com uma access list ali
> voce
> pode bloquear o ataque com minimo impacto no trafego normal.
>
> Um ataque de uma botnet bem distribuida e' bem mais complicado de resolver
> porque entra por varios lados. Nesse caso a solucao e' usar um equipamento
> especializado em filtrar ataques, um scrubber, como o Cisco Guard.
>
> Os scrubbers tem varios algoritmos para tratar varios tipos de ataques. Um
> dos mais faceis de resolver e' o SYN flood. Um dos metodos para resolver
> SYN
> flood e' anotar o IP de origem e descartar o pacote SYN. Se o mesmo IP
> mandar
> outro SYN antes de 1 segundo por exemplo, o equipamento deixa passar o
> pacote.
>
> Hoje em dia esse tipo de tratamento de ataques e' vendido como servico
> especial a clientes que tem e-commerce por varios provedores do mundo. Em
> breve deveremos ter essa oferta no Brasil tambem, baseado na solucao
> chamada
> CleanPipes composta pelo Peakflow SP da Arbor, fazendo a deteccao de
> ataques,
> e o Cisco Guard filtrando os ataques identificados pelo Peakflow SP.
>
>
> Ewerton Vieira
> Arbor Networks
> Consulting Engineering
> Latin America and the Caribbean
> Office:   +1 (954) 212.1478
> Mobile: +1 (954) 882.5539
> SMS: 9548825539 at cingularme.com
> evieira at arbor.net
>
>
> -----Original Message-----
> From: gter-bounces at eng.registro.br [mailto: gter-bounces at eng.registro.br]
> On
> Behalf Of Antonio Carlos Pina
> Sent: Monday, September 25, 2006 2:25 PM
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> Subject: Re: [GTER] SYN FLOOD ATTACK
>
>
> Não, não. Se algo existe nesse sentido, não está implementado em lugar
> nenhum. O que existe hoje são filtragens feitas em pontos cada vez mais
> próximos da origem do atacante. Você exporta o IP "alvo" e as redes acima
> fazer o roteamento para nulo.
>
> Existe uma forma de fazer roteamento para nulo automaticamente em
> roteadores
> Cisco caso o source de um IP venha por uma interface diferente da
> esperada,
> entretanto isso só funciona quando você sabe muito bem os possíveis
> sources
> ligados a cada interface do roteador (em ambiente bgp-full, nem pensar).
>
> O que ajudaria a resolver seria se cada ponto (CADA PONTO mesmo) de
> conexão
> com a Internet tivesse filtros Antispoof. Pois assim seria mais simples
> encontrar a origem dos ataques e resolver a(s) provável(is)
> vulnerabilidades
> que permitem ao hacker utilizar a máquina para ataque. Mas...isso ainda é
> distante.
>
>
> Abs.
>
> Em 25/09/06, Fabiano < fabiano.br at uol.com.br> escreveu:
> >
> >
> > At 14:37 25/9/2006, you wrote:
> > >Entretanto, nenhuma delas resolverá se a banda for toda consumida.
> > >Não há nenhuma defesa contra um ataque que consome a banda OU que
> > >ultrapassa a capacidade de switching dos ativos do Core de qualquer
> > >Datacenter.
> > >
> > >Infelizmente, é a realidade da Internet.
> > >
> > >Abs.
> >
> > a muito tempo,me recordo ter visto uma
> > apresentação sobre "futuras tecnologias" da cisco
> > (na época...) em que os routers se falavam e eram
> > capazes entre sí de coordenarem um bloqueio (ou
> > controle de banda) a uma possível origem atacante
> > dos ou ddos. Alguém tem novas informações ?
> >
> > PS : Desde que todos nesta cadeia fossem cisco e
> > com estas "features" habilitadas como datacenters,empresas,ISPs,etc...
> >
> > []s
> > Fabiano
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list     https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list