[caiu] RES: RES: RES: rede BGP
Julio Arruda
jarruda-gter em jarruda.com
Sexta Janeiro 28 13:23:49 BRST 2011
On Jan 28, 2011, at 9:27 AM, Henrique de Moraes Holschuh wrote:
> On 18-01-2011 14:28, Suporte HostGaming wrote:
>> Consigo fazer desvio caso ocorra ataques syn flood na rede?
>
> Desviar o quê?
>
> Syn flood te dá três escolhas:
>
> 1. desligar o serviço para matar o tráfego via blackhole e sumir com ele do teu enlace (que é o objetivo do atacante).
>
> 2. aguentar o tráfego e instalar um sistema operacional que aguente synflood via syncookies, ou colocar alguma espécie de proxy tcp que o faça. Seu link precisa ser grande o suficiente.
Syn-flood nao resolve somentecom syn-cookies, existem diversos casos em que tem que ter algo 'mais parrudo', obviamente, cabe o disclaimer, eu trabalho na Arbor.
>
> 3. tentar identificar o tráfego útil e filtrar fora o resto *no upstream* antes de lotar o seu link. Você tem que ter contratado este tipo de serviço do seu upstream (se for um simples caso de por uma ACL, a maioria faz na faixa. Quase nunca é).
>
Filtros de SYN 40 bytes ja ajudaram no passado, so que na grande maioria, os SYN Flood atuais tem caracteristicas dificieis de filtrar.
> Sinceramente, se seus clientes são nacionais, dê um jeito de seus prefixos serem publicados apenas para os AS nacionais ou consiga que o upstream filtre fora tudo que não possuir origem nacional. Pelo menos vai ter muito menos bot te atacando, e dá para por a Policia Federal no caso.
>
> Se quiser se livrar da dor de cabeça de vez, hospede tudo em um datacenter de primeira, e contrate serviço de clean-pipe. O datacenter vai se virar para limpar o synflood o suficiente para o seu serviço continuar no ar e não lotar a banda de rede contratada. Seu custo vai subir bastante.
Clean Pipes em teoria podem ser contratados quando voce esta 'FORA' to data center, ele exatamente existe como 'link com alguma maneira de limpar os ataques'.
Exemplo:
http://www.business.att.com/enterprise/Family/business-continuity-enterprise/internet-protect-enterprise/
http://shop.sprint.com/en/solutions/managed_services/ip_defender.shtml
http://www.axtel.mx/empresas/servicios_empresariales/productos/servicios_administrados#a05
>
> No limite (você atrai o ódio de botnets capazes de ataques muito massivos), você precisará espalhar o serviço por diversos datacenters ao redor do mundo através de BGP anycast, e com isso diluir o DDoS o suficiente para conseguir tratar e livrar-se dele em cada um dos datacenters. Seu custo vai para a estratosfera.
Mesmo provedores com IDCs 'espalhados', tem problemas com DDoS. O ponto e', nao existe uma correlacao com quanto voce pode receber de trafego, com quanto o DDoS pode ser, em volume (ou, mais recentemente, os de aplicacao, que nao sao tao grandes, mas extremamente nocivos).
>
> --
> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> IM@ - Informática de Municípios Associados
> Engenharia de Telecomunicações
> TEL +55-19-3755-6555/CEL +55-19-9293-9464
>
> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> e do custo que você pode evitar.
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA USANDO A INTERFACE WEB DO MAILMAN:
>
>
> Use o link: https://eng.registro.br/mailman/options/caiu
>
>
> Coloque seu e-mail cadastrado e sua senha, e aperte o botão "Desinscrever".
>
>
> CASO NÃO TENHA A SENHA: coloque apenas seu e-mail no 1o. campo deste formulário (campo "Endereço de email:) e deixe o campo de senha em branco. Em seguida use o botão "Lembrete" no final da página. O sistema Mailman enviará a senha para seu e-mail. Depois basta usa-la para cancelar sua assinatura usando este mesmo formulário.
>
>
>
> --> PARA SAIR DA LISTA USANDO SEU E-MAIL:
>
>
> A partir do endereço de e-mail que você está inscrito, apenas envie um e-mail para:
>
>
> caiu-request at eng.registro.br
>
>
> e coloque na llinha de assunto ou subject apenas a palavra "unsubscribe", *SEM* as aspas. O corpo da mensagem pode ser deixado em branco.
>
>
> -----
>
Mais detalhes sobre a lista de discussão caiu