[GTER] globo.com

Luiz Eduardo doc at n3tworkz.com
Sat Feb 14 18:26:12 -02 2004 

> > Depois de classificar o(s) tipo(s) de ataques, não seria possível criar
um
> > filtro baseado no ataque ao invés dos IPs? Já que, como o Rubens falou,
a
> > maioria dos ips fonte são spoofed?
>
> Não dá(*), o ataque tipicamente se constitui de pacotes de início de
conexão
> TCP... quando alguém faz isso com ICMP, por exemplo, filtra-se apenas ICMP
> durante a duração do ataque.

imagino que isso dependeria do tipo do ataque. Acho que vc citou no primeiro
email algo como ataques de SYN flood. Não daria então para fazer o que
comentei, ou fazer rate limit disso? (apesar de que acho que bloquear seria
a solução). E mesmo que seja de ICMP, acho que existem equipamentos que
suportam listas de acesso específicas dentro de cada protocolo.

> (*) Existem algumas idéias de como fazer isso usando parâmetros do header
IP
> como TTL e parâmetros do header TCP como janela, mas esse tipo de match
não
> é atualmente disponível em roteadores de backbone

acho que isso responde a minha pergunta acima. Sinceramente pensei que os
grandes roteadores poderiam fazer isso.

> > Sem dúvida o lance do custo/ audiência entra no jogo. Mas deveria ser
> feito
> > como uma solução temporária, para identificar o problema e pensar em uma
> > solução mais "elegante".
>
> "O provisório é a m(*)a definitiva", dizia um cartaz "motivador" da
> empresa...

sim, mas nesse caso não estamos falando de uma solução temporária como um
virtual link de ospf, ou seja, uma solução temporária que funciona. Nesse
caso eu não consigo acessar páginas da internet. Acho que isso quebra o
intuito da internet, ou não?


> > Já vi gente nos Estados Unidos bloquearem blocos de redes também durante
> > ataques. Mas ao mesmo tempo, contar com a ajuda das telcos, para
bloquear,
> > analisar, e de repente até usar táticas (algumas das telcos) para fazer
o
> > blackhole dos ataques e/ ou jogar em um ids para análise do mesmo. Acho
> que
> > isso rolou na época do codered.
>
> Isso na prática leva semanas até que todas as fontes de DoS consigam ser
> extintas...

concordo. Nunca falei que é uma coisa fácil de se fazer, mas semanas é
melhor que a tal m(*)da definitiva. De acordo com o Marcello, no caso do
blogger.com.br é uma solução provisória. Mas quanto ao kit.net é mais do que
definitiva.

só por curiosidade, dei uma procurada na internet e achei isso aqui: alguém
tem experiência com esse tipo de equipamento:
http://www.netzentry.com/products/floodguard2point1.pdf ou mesmo a solução
da riverhead ou iss?

[]s
le

More information about the gter mailing list