[GTER] globo.com

Rubens Kuhl Jr. rubens at email.com
Sat Feb 14 17:42:20 -02 2004


> Depois de classificar o(s) tipo(s) de ataques, não seria possível criar um
> filtro baseado no ataque ao invés dos IPs? Já que, como o Rubens falou, a
> maioria dos ips fonte são spoofed?

Não dá(*), o ataque tipicamente se constitui de pacotes de início de conexão
TCP... quando alguém faz isso com ICMP, por exemplo, filtra-se apenas ICMP
durante a duração do ataque.

(*) Existem algumas idéias de como fazer isso usando parâmetros do header IP
como TTL e parâmetros do header TCP como janela, mas esse tipo de match não
é atualmente disponível em roteadores de backbone

> Sem dúvida o lance do custo/ audiência entra no jogo. Mas deveria ser
feito
> como uma solução temporária, para identificar o problema e pensar em uma
> solução mais "elegante".

"O provisório é a m(*)a definitiva", dizia um cartaz "motivador" da
empresa...

> Já vi gente nos Estados Unidos bloquearem blocos de redes também durante
> ataques. Mas ao mesmo tempo, contar com a ajuda das telcos, para bloquear,
> analisar, e de repente até usar táticas (algumas das telcos) para fazer o
> blackhole dos ataques e/ ou jogar em um ids para análise do mesmo. Acho
que
> isso rolou na época do codered.

Isso na prática leva semanas até que todas as fontes de DoS consigam ser
extintas...


Rubens



More information about the gter mailing list