[GTER] globo.com

Rubens Kuhl Jr. rubens at email.com
Sat Feb 14 16:27:53 -02 2004


> muito obrigado pelo esclarecimento e rápida resposta. O bloqueio ao acesso
> do kit.net foi finalmente esclarecido.
>
> Aguardarei a remoção dos filtros. Qualquer dúvida entrarei em contato com
o
> endereço de abuse que você enviou.
> Caso eu possa ajudar com testes e etc, entre em contato.
>
> Curiosidade (para a lista agora), alguém mais está fazendo isso? Esse
seria
> o único modo de conter ataques?

Esse procedimento surgiu durante os primeiros ataques DDoS, nos quais tive
envolvimento direto como responsável de segurança em uma das vítimas, e ao
que saiba é prática comum até hoje.

Infelizmente esse é (quase) o único modo. A proporção de fontes de ataque
versus usuários é notadamente distinta entre os acesso nacionais e
internacionais, especialmente em grandes portais. Dependendo do perfil de
ataque, até seria possível evitar esse bloqueio internacional. Um cenário
onde seria possível:
1) O ataque é feito com IPs spoofados;
2) A quantidade de pacotes geradas não é suficiente para derrubar nenhum dos
roteadores internacionais e nacionais envolvidos;
3) O portal dispõe de um dispositivo L4 capaz de, nessa vazão de pacotes,
fazer o 3-way inicial e separar as conexões verdadeiras.

Uma variante de (3) é dispor de um dispositivo limitador de SYNs, e
redirecionar o tráfego internacional para um pool de máquinas com
configurações agressivas de TCP.

Uma questão a analisar é se o custo envolvido justifica a pequena audiência
que isso agrega... esse tipo de ataque mostra que os lamers por trás deles
ainda não pensaram direito sobre o que atacar e que forças usar.



Rubens





More information about the gter mailing list