[GTER] globo.com

Rubens Kuhl Jr. rubens at email.com
Sat Feb 14 18:54:46 -02 2004


> > Não dá(*), o ataque tipicamente se constitui de pacotes de início de
> conexão
> > TCP... quando alguém faz isso com ICMP, por exemplo, filtra-se apenas
ICMP
> > durante a duração do ataque.
>
> imagino que isso dependeria do tipo do ataque. Acho que vc citou no
primeiro

Sim, depende. Mas TCP SYN flood é o ataque mais comum.

> email algo como ataques de SYN flood. Não daria então para fazer o que
> comentei, ou fazer rate limit disso? (apesar de que acho que bloquear
seria

Fazer rate limit é parte de uma solução de sobrevivência; veja que mesmo
assim ela impõe uma certa degradação ao serviço, pois os SYNs dos usuários
legítimos serão dropados na proporção deles em relação ao fluxo total. Essa
é uma das alternativas que citei numa apresentação de Nov/2000
(ftp://ftp.registro.br/pub/gter/gter12/rkjDDoS.pdf); desde então algumas
idéias surgiram, vale uma olhada em apresentações da NANOG destes últimos
anos.


> a solução). E mesmo que seja de ICMP, acho que existem equipamentos que
> suportam listas de acesso específicas dentro de cada protocolo.

Sim, para ICMP é viável escolher tipos (ex: 8/0, 0/0), tal como portas de
TCP ou UDP.

> > (*) Existem algumas idéias de como fazer isso usando parâmetros do
header
> IP
> > como TTL e parâmetros do header TCP como janela, mas esse tipo de match
> não
> > é atualmente disponível em roteadores de backbone
>
> acho que isso responde a minha pergunta acima. Sinceramente pensei que os
> grandes roteadores poderiam fazer isso.

No típico da base instalada, não; veja que esses são parâmetros pouco usuais
de filtro. Nessa palestra eu fiz uma brincadeira dizendo que muitas coisas
eram possíveis apenas com os equipamentos do "fabricante 2", mas que o
"fabricante 1" não suportava... essa situação permanece até hoje. O
"fabricante 1" melhorou sua capacidade de fazer filtro e rate-limiting
baseado em ACLs em roteadores de backbone, mas a sintaxe suportada para isso
ainda não permite especificidades maiores.

Por coincidência, os roteadores de borda internacional são o único ponto
conhecido de uso do "fabricante 2" pela Embratel, que usa "fabricante 1" na
maior parte do seu backbone até hoje.

> sim, mas nesse caso não estamos falando de uma solução temporária como um
> virtual link de ospf, ou seja, uma solução temporária que funciona. Nesse
> caso eu não consigo acessar páginas da internet. Acho que isso quebra o
> intuito da internet, ou não?

Essa é uma premissa da época não-comercial da Internet, não acha ? Numa
iniciativa de negócios, o que importa é se os clientes(diretos ou indiretos)
são alcançados ou não.

> > Isso na prática leva semanas até que todas as fontes de DoS consigam ser
> > extintas...
>
> concordo. Nunca falei que é uma coisa fácil de se fazer, mas semanas é
> melhor que a tal m(*)da definitiva. De acordo com o Marcello, no caso do
> blogger.com.br é uma solução provisória. Mas quanto ao kit.net é mais do
que
> definitiva.

Veja que uma seqüência de problemas com duração de semanas se torna um
problema permanente... infelizmente há um exército quase ilimitado de
possíveis zumbis no planeta, e ataques DoS se tornam problemas rotineiros.
Para manter a disponibilidade do serviço para os usuários internacionais, a
estrutura interna precisaria ser atualizada para sobreviver aos ataques sem
necessidade de bloqueio. Isso cu$ta.

> só por curiosidade, dei uma procurada na internet e achei isso aqui:
alguém
> tem experiência com esse tipo de equipamento:
> http://www.netzentry.com/products/floodguard2point1.pdf ou mesmo a solução
> da riverhead ou iss?

Não tenho, mas há mais fornecedores nesse espaço: Arbor, Mazu, Asta, Captus,
TopLayer... aliás, qualquer bom switch L4 é por si só um candidato a
resolver o problema, desde que você possa concentrar a reação ao ataque na
sua estrutura. Um cenário de ataque em que isso não é possível é, ao invés
de usar poucas fontes gerando muitos pacotes pequenos cada, o ataque ser
montado com muitas fontes mandando pacotes de 1500 bytes. Resultado: o link
internacional fica lotado, e não há jeito que não filtrar o mais próximo
possível da origem.

Rubens



More information about the gter mailing list