[GTER] Feds Investigating "Largest Ever" Attack on Internet

Frederico A C Neves fneves at registro.br
Thu Oct 24 14:50:01 -03 2002


Senhores,

O ataque aos root-servers não foi o primeiro, não foi o maior como
noticiado e não será o último. O sistema se comportou muito bem e a
percepção para a comunidade como um todo foi praticamente nula.

Com relação a distribuição atual dos servidores para o .BR, ela é a
seguinte desde Jan/1998 quando foi reformulada. (Salvo a troca do
AS1251 pelo AS22548 em Março de 2002)

5 servidores, localizados em 5 AS distintos sem interdependência de
trânsito e com distância física entre os mesmos de no mínimo 450 Km.

zona .BR
Servidor         AS         Instituição       Localização
-------------------------------------------------------------------------
NS.DNS.BR        22548      Registro.br       São Paulo, SP / Brasil
NS1.DNS.BR       4230       Embratel          Rio de Janeiro, RJ / Brasil
NS2.DNS.BR       1916       RNP               Brasilia, DF / Brasil
NS3.NIC.FR       2486       AFNIC             Paris / Franca
NS-EXT.VIX.COM   3557       ISC               Palo Alto, CA / EUA

zona .COM.BR
	NS[12]?.DNS.BR
	NS-EXT.VIX.COM

demais zonas
	NS[12]?.DNS.BR

Esta distribuição e o número de servidores é compatível com o load
atual, atende com folga os requisitos de "over-provisioning" do
RFC2870 e não demonstra nenhum sinal de necessidade de upgrade. Caso
venha a demonstrar o upgrade natural deste modelo é para o descrito no
RFC3258.

O Registro.br já testa servidores anycast desde Mar/2000 e temos em
produção hoje uma instância dos servidores que recebem o load do
trafego devido a DynUpdate para o RFC1918. Isto apresenta volume e
características de tráfego de um DDOS em regime. Uma ótima solução e o
que pode ser feito por toda a comunidade, e aqui entra o GTER, é a
disseminação da cultura de filtros básicos no edge o que facilita
muito o controle deste tipo de problema.

Para ilustrar a nossa situação, o load dos root-servers está na casa
dos 100K q/s. O nosso é 12 vezes menor do que este mas estamos
preparados e provisionados para o mesmo.

O serviço de publicação DNS é operado pelo Registro.br em cooperação
com as equipes dos ASs listados acima, as quais em todos os eventos
passados tiveram sempre atuações exemplares.

Por favor não apliquemos DOS nas equipes de operação e mantenhamos a
calma. Em geral a imprensa "especializada" adora noticiar o pánico
pois dá audiência, o nosso papel como profissionáis da área é manter o
foco no problema real. Atitudes de incentivo de DDOS para fins de
teste somente vem a alimentar os "Trolls".

Caso alguem tenha alguma observação concreta de problema por favor
envie diretamente para mim copiando o nbso <nbso at nic.br>.

[]s
Frederico Neves

On Thu, Oct 24, 2002 at 09:47:39AM -0300, Jeronimo de A Barros wrote:
> Oi...
> 
> 	Pelo oque me consta ja' e' distribuido: Rio (2), Sampa (1), EUA
> (1) e Franca (1).
> 
> 	Mas parece que somente os do Rio e Sao Paulo que respondem por
> todos os DPNs .BR.
> 
> Abracos, Jero
> 
> On Thu, 24 Oct 2002, Kleber Carriello de Oliveira wrote:
> 
> > Date: Thu, 24 Oct 2002 09:38:11 -0300
> > From: Kleber Carriello de Oliveira <kco at embratel.net.br>
> > Reply-To: gter at eng.registro.br
> > To: gter at eng.registro.br
> > Subject: RE: [GTER] Feds Investigating "Largest Ever" Attack on Internet
> >
> > Talvez seja hora de pensarmos em uma estrutura mais distribuida de DNS.
> > Os servers da FAPESP poderiam ser distribuidos em regioes do Brasil.
> >
> > --
> > Kleber Carriello de Oliveira
> > Gerência de Segurança Internet
> > Embratel -  Rio de Janeiro
> >
> > -----Original Message-----
> > From: gter-admin at eng.registro.br [mailto:gter-admin at eng.registro.br]On
> > Behalf Of Andre Fucs de Miranda
> > Sent: Wednesday, October 23, 2002 13:52
> > To: gter
> > Subject: [GTER] Feds Investigating "Largest Ever" Attack on Internet
> >
> >
> > Ao ler isso eu pergunto... atualmente qual a chance real dos servidores
> > de DNS Brasileiros serem afetados por um ato semelhante? Apenas como
> > curiosidade... são ou já foram feitas simulações nesse sentido?
> >



More information about the gter mailing list