[GTER] globo.com

Luiz Eduardo doc at n3tworkz.com
Sat Feb 14 16:51:30 -02 2004 

----- Original Message ----- 
From: "Rubens Kuhl Jr." <rubens at email.com>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Sent: Saturday, February 14, 2004 10:27 AM
Subject: Re: [GTER] globo.com



> > Curiosidade (para a lista agora), alguém mais está fazendo isso? Esse
> seria
> > o único modo de conter ataques?
>
> Esse procedimento surgiu durante os primeiros ataques DDoS, nos quais tive
> envolvimento direto como responsável de segurança em uma das vítimas, e ao
> que saiba é prática comum até hoje.
>
> Infelizmente esse é (quase) o único modo. A proporção de fontes de ataque
> versus usuários é notadamente distinta entre os acesso nacionais e
> internacionais, especialmente em grandes portais. Dependendo do perfil de
> ataque, até seria possível evitar esse bloqueio internacional. Um cenário
> onde seria possível:
> 1) O ataque é feito com IPs spoofados;
> 2) A quantidade de pacotes geradas não é suficiente para derrubar nenhum
dos
> roteadores internacionais e nacionais envolvidos;
> 3) O portal dispõe de um dispositivo L4 capaz de, nessa vazão de pacotes,
> fazer o 3-way inicial e separar as conexões verdadeiras.
>
> Uma variante de (3) é dispor de um dispositivo limitador de SYNs, e
> redirecionar o tráfego internacional para um pool de máquinas com
> configurações agressivas de TCP.
>
> Uma questão a analisar é se o custo envolvido justifica a pequena
audiência
> que isso agrega... esse tipo de ataque mostra que os lamers por trás deles
> ainda não pensaram direito sobre o que atacar e que forças usar.
>

Depois de classificar o(s) tipo(s) de ataques, não seria possível criar um
filtro baseado no ataque ao invés dos IPs? Já que, como o Rubens falou, a
maioria dos ips fonte são spoofed?

Sem dúvida o lance do custo/ audiência entra no jogo. Mas deveria ser feito
como uma solução temporária, para identificar o problema e pensar em uma
solução mais "elegante".

Já vi gente nos Estados Unidos bloquearem blocos de redes também durante
ataques. Mas ao mesmo tempo, contar com a ajuda das telcos, para bloquear,
analisar, e de repente até usar táticas (algumas das telcos) para fazer o
blackhole dos ataques e/ ou jogar em um ids para análise do mesmo. Acho que
isso rolou na época do codered.

[]s
luiz eduardo

More information about the gter mailing list