[caiu] Operadoras sob ataque
Diego Canton de Brito
diegocanton em ensite.com.br
Quinta Julho 9 14:53:03 BRT 2015
Uma coisa a se pensar em pq não permitir BH em IP de origem, e vou por o exemplo pra vcs pensarem de forma inversa ao que acham como solução.
Um atacante faz um ataque com um IP de um serviço importante seu, o atacado verifica o tráfego e identifica seu IP, decide mandar o IP de origem para BH, por causa de um Spoofing VC terá seu serviço indisponível para todos os operadores do mundo. Imagina agora identificar um problema desses e o pior, identificar quem fez, justificar e contactar esse AS.
Vamos piorar o cenário, imagina um operador errar e enviar seu CIDR /22, /21, /20, /19 ou seja lá qual tenha, inteiro em uma BH por um erro de digitação, seu AS inteiro indisponível por um erro.
Se procurar, vai encontrar alguém que errou um dia, a operadora aceitou e deixou outro parado.
--
Enviado do aplicativo myMail para Android quinta-feira, 09 julho 2015, 02:40PM -03:00 de Douglas Fischer < fischerdouglas em gmail.com> :
>Black-Hole por origem significa roteamento por origem.
>Isso é inviável tecnicamente falando.
>
>Imagina uma caixa com 480Gbps, 5BPPS, fazendo análise de origem?
>Nem-Fu...
>
>Primeira reação para DDoS é BlackHole sim
>Se atacarem o bloco inteiro, mete 666 no bloco inteiro.
>Ou então corre atrás de um limpador de tráfego e pague por isso.
>
>
>Mas eu volto a dizer, solução de verdade começa por acabar-se com o
>Spoofing.
>Na sequencia, fazer coleta do tráfego de ataque, tabular e acionar
>administrativa e judicialmente os donos dos IPs de origem.
>
>Denovo peço para olhar para o gráfico de Spam antes e depois do bloqueio da
>porta 25.
>
>
>
>Em 9 de julho de 2015 14:24, Provedor Bogus < provedorbogus em gmail.com >
>escreveu:
>
>> Nem precisava disso tudo.
>>
>> Se ao menos existisse a possibilidade de blackhole por IP de origem (e não
>> por IP de destino), já resolveria o problema. A verdade é que nenhum
>> provedor de pequeno/médio porte tem defesa pra DDoS. Atacou um IP, tudo
>> bem, mas e se atacarem um /20 inteiro ? Pra uma semi-operadora, isso não
>> vai trazer transtornos maiores do que os causados pela "qualidade" normal
>> do serviço deles, mas para empresas com foco em estabilidade e serviço
>> superior, é complicado.
>>
>> Backbones profissionais como Level3, já deveriam oferecer mais
>> granularidade para ajudar na mitigação. Inversamente, o mercado caminha
>> para criar dificuldades afim de vender facilidades e agora temos os famosos
>> "clean pipes" e seus preços surreais.
>>
>> É um total descalabro que a Internet ainda esteja no atual nível de
>> vulnerabilidade a DDoS nos dias de hoje.
>>
>>
>> Em 8 de julho de 2015 19:02, Douglas Fischer < fischerdouglas em gmail.com >
>> escreveu:
>>
>> > Mudando um pouquinho o foco da thread, mas ainda na mesma linha.
>> >
>> > Fico aqui me perguntando o quanto realmente é inviável para uma operadora
>> > do porte de OI/GVT/L3 auxiliar no rastreio desses ataques...
>> >
>> >
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>
>
>
>--
>Douglas Fernando Fischer
>Engº de Controle e Automação
>_______________________________________________
>caiu mailing list
>caiu em eng.registro.br
>https://eng.registro.br/mailman/listinfo/caiu
>
>
>--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
>https://eng.registro.br/mailman/options/caiu
Mais detalhes sobre a lista de discussão caiu