[GTER] globo.com

Luiz Eduardo doc at n3tworkz.com
Sat Feb 14 22:02:13 -02 2004


<snip>

> Fazer rate limit é parte de uma solução de sobrevivência; veja que mesmo
> assim ela impõe uma certa degradação ao serviço, pois os SYNs dos usuários
> legítimos serão dropados na proporção deles em relação ao fluxo total.
Essa

bom, por isso falei da classificação... SE houvesse a possibilidade de
classificação dos ataques, através de contadores e etc, daria para manter
uma tabela e tomar decisões sobre isso. Mas ninguém faz :-/

> é uma das alternativas que citei numa apresentação de Nov/2000
> (ftp://ftp.registro.br/pub/gter/gter12/rkjDDoS.pdf); desde então algumas
> idéias surgiram, vale uma olhada em apresentações da NANOG destes últimos
> anos.

acho que em termos de apresentações da nanog, a 23 foi a que mais cobriu
coisas de ataques (ddos e de terrorismo mesmo), essa eu vi ao vivo. foi lá
que vi o exemplo que citei da uunet fazendo o blackholing no caso do
codered.

> > a solução). E mesmo que seja de ICMP, acho que existem equipamentos que
> > suportam listas de acesso específicas dentro de cada protocolo.
>
> Sim, para ICMP é viável escolher tipos (ex: 8/0, 0/0), tal como portas de
> TCP ou UDP.

mas pelo visto, ainda fica a dever pelo que "queremos".


<snip>

> Por coincidência, os roteadores de borda internacional são o único ponto
> conhecido de uso do "fabricante 2" pela Embratel, que usa "fabricante 1"
na
> maior parte do seu backbone até hoje.

eu estava pensando no "fabricante 2" mesmo, e olhei no site deles e nada :-/
quem sabe agora eles usam um pouco mais da tecnologia da empresa que
compraram para isso.

> > sim, mas nesse caso não estamos falando de uma solução temporária como
um
> > virtual link de ospf, ou seja, uma solução temporária que funciona.
Nesse
> > caso eu não consigo acessar páginas da internet. Acho que isso quebra o
> > intuito da internet, ou não?
>
> Essa é uma premissa da época não-comercial da Internet, não acha ? Numa
> iniciativa de negócios, o que importa é se os clientes(diretos ou
indiretos)
> são alcançados ou não.

bom, eu, falando como usuário, não acho legal tentar entrar em uma página
que não funciona sem (pelo menos) nenhum tipo de aviso na página principal,
sendo que o serviço funcionava antes. E com DDoS ou sem, nunca tive
problemas para entrar ou senti degradação. Quanto aos clientes serem
alcançados ou não, eu não estou sendo alcançado.

> Veja que uma seqüência de problemas com duração de semanas se torna um
> problema permanente... infelizmente há um exército quase ilimitado de
> possíveis zumbis no planeta, e ataques DoS se tornam problemas rotineiros.
> Para manter a disponibilidade do serviço para os usuários internacionais,
a
> estrutura interna precisaria ser atualizada para sobreviver aos ataques
sem
> necessidade de bloqueio. Isso cu$ta.

Vários portais devem ter muitos problemas, i.e. o pessoal do yahoo falando
na nanog sobre o "ataque" que sofriam com pings válidos. Todo mundo queria
testar conectividade/ dns advinha o que eles (e até eu mesmo) pingava?
www.yahoo.com
imagine outros...

Talvez seja hora da globo.com gastar um pouquinho de $ já que começaram a
comercializar seus serviços.

> > só por curiosidade, dei uma procurada na internet e achei isso aqui:
> alguém
> > tem experiência com esse tipo de equipamento:
> > http://www.netzentry.com/products/floodguard2point1.pdf ou mesmo a
solução
> > da riverhead ou iss?
>
> Não tenho, mas há mais fornecedores nesse espaço: Arbor, Mazu, Asta,
Captus,
> TopLayer... aliás, qualquer bom switch L4 é por si só um candidato a
> resolver o problema, desde que você possa concentrar a reação ao ataque na
> sua estrutura. Um cenário de ataque em que isso não é possível é, ao invés
> de usar poucas fontes gerando muitos pacotes pequenos cada, o ataque ser
> montado com muitas fontes mandando pacotes de 1500 bytes. Resultado: o
link
> internacional fica lotado, e não há jeito que não filtrar o mais próximo
> possível da origem.

amém.

[]s
le



More information about the gter mailing list