[caiu] RES: RES: RES: RES: rede BGP

Suporte HostGaming suporte em hostgaming.com.br
Sexta Janeiro 28 14:58:58 BRST 2011


Estava fazendo pesquisa, isso seria possível?

http://www.fireslayer.com.br/images/data-center-ddos-schema.jpg



-----Mensagem original-----
De: caiu-bounces em eng.registro.br [mailto:caiu-bounces em eng.registro.br] Em
nome de Julio Arruda
Enviada em: sexta-feira, 28 de janeiro de 2011 13:24
Para: Lista das indisponibilidades da Internet brasileira
Assunto: Re: [caiu] RES: RES: RES: rede BGP


On Jan 28, 2011, at 9:27 AM, Henrique de Moraes Holschuh wrote:

> On 18-01-2011 14:28, Suporte HostGaming wrote:
>> Consigo fazer desvio caso ocorra ataques syn flood na rede?
> 
> Desviar o quê?
> 
> Syn flood te dá três escolhas:
> 
> 1. desligar o serviço para matar o tráfego via blackhole e sumir com ele
do teu enlace (que é o objetivo do atacante).
> 
> 2. aguentar o tráfego e instalar um sistema operacional que aguente
synflood via syncookies, ou colocar alguma espécie de proxy tcp que o faça.
Seu link precisa ser grande o suficiente.

Syn-flood nao resolve somentecom syn-cookies, existem diversos casos em que
tem que ter algo 'mais parrudo', obviamente, cabe o disclaimer, eu trabalho
na Arbor.

> 
> 3. tentar identificar o tráfego útil e filtrar fora o resto *no upstream*
antes de lotar o seu link.  Você tem que ter contratado este tipo de serviço
do seu upstream (se for um simples caso de por uma ACL, a maioria faz na
faixa. Quase nunca é).
> 
Filtros de SYN 40 bytes ja ajudaram no passado, so que na grande maioria, os
SYN Flood atuais tem caracteristicas dificieis de filtrar.

> Sinceramente, se seus clientes são nacionais, dê um jeito de seus prefixos
serem publicados apenas para os AS nacionais ou consiga que o upstream
filtre fora tudo que não possuir origem nacional.  Pelo menos vai ter muito
menos bot te atacando, e dá para por a Policia Federal no caso.
> 
> Se quiser se livrar da dor de cabeça de vez, hospede tudo em um datacenter
de primeira, e contrate serviço de clean-pipe.  O datacenter vai se virar
para limpar o synflood o suficiente para o seu serviço continuar no ar e não
lotar a banda de rede contratada.  Seu custo vai subir bastante.

Clean Pipes em teoria podem ser contratados quando voce esta 'FORA' to data
center, ele exatamente existe como 'link com alguma maneira de limpar os
ataques'.
Exemplo:
http://www.business.att.com/enterprise/Family/business-continuity-enterprise
/internet-protect-enterprise/
http://shop.sprint.com/en/solutions/managed_services/ip_defender.shtml
http://www.axtel.mx/empresas/servicios_empresariales/productos/servicios_adm
inistrados#a05


> 
> No limite (você atrai o ódio de botnets capazes de ataques muito
massivos), você precisará espalhar o serviço por diversos datacenters ao
redor do mundo através de BGP anycast, e com isso diluir o DDoS o suficiente
para conseguir tratar e livrar-se dele em cada um dos datacenters.  Seu
custo vai para a estratosfera.

Mesmo provedores com IDCs 'espalhados', tem problemas com DDoS. O ponto e',
nao existe uma correlacao com quanto voce pode receber de trafego, com
quanto o DDoS pode ser, em volume (ou, mais recentemente, os de aplicacao,
que nao sao tao grandes, mas extremamente nocivos).

> 
> -- 
> Henrique de Moraes Holschuh <hmh em ima.sp.gov.br>
> IM@ - Informática de Municípios Associados
> Engenharia de Telecomunicações
> TEL +55-19-3755-6555/CEL +55-19-9293-9464
> 
> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> e do custo que você pode evitar.
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
> 
> 
> --> PARA SAIR DA LISTA USANDO A INTERFACE WEB DO MAILMAN:
> 
> 
> Use o link: https://eng.registro.br/mailman/options/caiu
> 
> 
> Coloque seu e-mail cadastrado e sua senha, e aperte o botão
"Desinscrever".
> 
> 
> CASO NÃO TENHA A SENHA: coloque apenas seu e-mail no 1o. campo deste
formulário (campo "Endereço de email:) e deixe o campo de senha em branco.
Em seguida use o botão "Lembrete" no final da página. O sistema Mailman
enviará a senha para seu e-mail. Depois basta usa-la para cancelar sua
assinatura usando este mesmo formulário.
> 
> 
> 
> -->  PARA SAIR DA LISTA USANDO SEU E-MAIL:
> 
> 
> A partir do endereço de e-mail que você está inscrito, apenas envie um
e-mail para:
> 
> 
> caiu-request em eng.registro.br
> 
> 
> e coloque na llinha de assunto ou subject apenas a palavra "unsubscribe",
*SEM* as aspas. O corpo da mensagem pode ser deixado em branco.
> 
> 
> -----
> 

_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu


--> PARA SAIR DA LISTA USANDO A INTERFACE WEB DO MAILMAN:


Use o link: https://eng.registro.br/mailman/options/caiu


Coloque seu e-mail cadastrado e sua senha, e aperte o botão "Desinscrever".


CASO NÃO TENHA A SENHA: coloque apenas seu e-mail no 1o. campo deste
formulário (campo "Endereço de email:) e deixe o campo de senha em branco.
Em seguida use o botão "Lembrete" no final da página. O sistema Mailman
enviará a senha para seu e-mail. Depois basta usa-la para cancelar sua
assinatura usando este mesmo formulário.



-->  PARA SAIR DA LISTA USANDO SEU E-MAIL:


A partir do endereço de e-mail que você está inscrito, apenas envie um
e-mail para:


caiu-request em eng.registro.br


e coloque na llinha de assunto ou subject apenas a palavra "unsubscribe",
*SEM* as aspas. O corpo da mensagem pode ser deixado em branco.


-----



Mais detalhes sobre a lista de discussão caiu