[caiu] RES: RES: RES: rede BGP

[Henrique de Moraes Holschuh]

On 18-01-2011 14:28, Suporte HostGaming wrote:
> Consigo fazer desvio caso ocorra ataques syn flood na rede?

Desviar o quê?

Syn flood te dá três escolhas:

  1. desligar o serviço para matar o tráfego via blackhole e sumir com 
ele do teu enlace (que é o objetivo do atacante).

  2. aguentar o tráfego e instalar um sistema operacional que aguente 
synflood via syncookies, ou colocar alguma espécie de proxy tcp que o 
faça.  Seu link precisa ser grande o suficiente.

  3. tentar identificar o tráfego útil e filtrar fora o resto *no 
upstream* antes de lotar o seu link.  Você tem que ter contratado este 
tipo de serviço do seu upstream (se for um simples caso de por uma ACL, 
a maioria faz na faixa. Quase nunca é).

Sinceramente, se seus clientes são nacionais, dê um jeito de seus 
prefixos serem publicados apenas para os AS nacionais ou consiga que o 
upstream filtre fora tudo que não possuir origem nacional.  Pelo menos 
vai ter muito menos bot te atacando, e dá para por a Policia Federal no 
caso.

Se quiser se livrar da dor de cabeça de vez, hospede tudo em um 
datacenter de primeira, e contrate serviço de clean-pipe.  O datacenter 
vai se virar para limpar o synflood o suficiente para o seu serviço 
continuar no ar e não lotar a banda de rede contratada.  Seu custo vai 
subir bastante.

No limite (você atrai o ódio de botnets capazes de ataques muito 
massivos), você precisará espalhar o serviço por diversos datacenters ao 
redor do mundo através de BGP anycast, e com isso diluir o DDoS o 
suficiente para conseguir tratar e livrar-se dele em cada um dos 
datacenters.  Seu custo vai para a estratosfera.

-- 
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.