[GTER] globo.com

Rubens Kuhl Jr. rubens at email.com
Sun Feb 15 03:06:34 -03 2004


> > Fazer rate limit é parte de uma solução de sobrevivência; veja que mesmo
> > assim ela impõe uma certa degradação ao serviço, pois os SYNs dos
usuários
> > legítimos serão dropados na proporção deles em relação ao fluxo total.
> Essa
>
> bom, por isso falei da classificação... SE houvesse a possibilidade de
> classificação dos ataques, através de contadores e etc, daria para manter
> uma tabela e tomar decisões sobre isso. Mas ninguém faz :-/

Contadores não classificam, contam... é até possível sim utilizar contadores
e aplicar limitadores a tipos de tráfego, desde que você possa fazer match
(stateless mesmo) em atributos pouco usuais de filtragem. O interessante de
contadores é que eles são o tipo mais escalável de memória de estado,
justamente por serem escalares (agregados de tráfego baseado naqueles
perfis) e não tabulares (lista de conexões abertas). Basta que seja possível
especificar o match baseado em bitmasks, e que os limitadores possam ser
configurados em pps (infelizmente há um suporte muito mais abragente para
limitadores de bps, que tem como foco controle de banda ao invés de controle
de ataques).


> acho que em termos de apresentações da nanog, a 23 foi a que mais cobriu
> coisas de ataques (ddos e de terrorismo mesmo), essa eu vi ao vivo. foi lá
> que vi o exemplo que citei da uunet fazendo o blackholing no caso do
> codered.

Blackholing é justamente do que você está reclamando... ele é ótimo para a
reação inicial, mas não substitui filtros construídos com amor e carinho que
tenham como objetivo recuperar o serviço. Manter blackholing é fazer o
serviço do atacante por ele.


> > Por coincidência, os roteadores de borda internacional são o único ponto
> > conhecido de uso do "fabricante 2" pela Embratel, que usa "fabricante 1"
> na
> > maior parte do seu backbone até hoje.
>
> eu estava pensando no "fabricante 2" mesmo, e olhei no site deles e nada
:-/
> quem sabe agora eles usam um pouco mais da tecnologia da empresa que
> compraram para isso.

Antes mesmo dessa aquisição eles já tinham um Adaptive Services PIC, que faz
12000 novas sessões por segundo segundo documentação, já dá para aumentar
bem a sobrevivência de um site com isso.

O que me espanta nessa história na Globo.com é que eles não tenham tentado
utilizado recursos default do fabricante 2 como policers; isso é um indício
de que pode haver algo mais envolvido nessa decisão do que simplesmente a
questão de segurança.

> > Essa é uma premissa da época não-comercial da Internet, não acha ? Numa
> > iniciativa de negócios, o que importa é se os clientes(diretos ou
> indiretos)
> > são alcançados ou não.
>
> bom, eu, falando como usuário, não acho legal tentar entrar em uma página
> que não funciona sem (pelo menos) nenhum tipo de aviso na página
principal,

Para colocar um aviso, algum tipo de acesso ao site precisaria ser
possível... eles precisariam ativar algum tipo de global-load-balancing ou
uma rede de distribuição de conteúdo mesmo para colocar uma página de "I'm
so sorry".

> sendo que o serviço funcionava antes. E com DDoS ou sem, nunca tive
> problemas para entrar ou senti degradação. Quanto aos clientes serem
> alcançados ou não, eu não estou sendo alcançado.

Por cliente entenda-se um número significativo de usuários pagantes...

> Vários portais devem ter muitos problemas, i.e. o pessoal do yahoo falando
> na nanog sobre o "ataque" que sofriam com pings válidos. Todo mundo queria
> testar conectividade/ dns advinha o que eles (e até eu mesmo) pingava?
> www.yahoo.com
> imagine outros...

www.uol.com.br sofria do mesmo problema...

> Talvez seja hora da globo.com gastar um pouquinho de $ já que começaram a
> comercializar seus serviços.

O kit.net tradicionalmente era um serviço para não assinantes, apesar de
agora estar mais restrito, e o blogger.com.br também é um serviço gratuito.
Não acredito que seja mera coincidência que ataques a esses serviços não
tenham motivado o deployment de uma estrutura mais robusta, quando filtrar
os ataques na borda internacional já aliviam bem a questão.

Outro detalhe do kit.net é que em função da hospedagem de conteúdo
pornográfico, ele devia ser responsável por muito do gasta de banda da
Globo.com... filtrar acessos internacionais também ajuda a diminuir a conta.

Aliás, a pergunta que estourou a bolha ainda é um grande veículo de tomada
de decisões: - Quem paga a conta ?

Rubens




More information about the gter mailing list