[GTER] FloodGuard e DRDoS

Rubens Kuhl Jr. rubens at email.com
Sun Feb 15 14:31:22 -03 2004


Muito provavelmente vários desses ataques já tenham ocorrido sem que se
tenha notado... o chato desse ataque nem é tanto o poder que tem (que pode
ser bem razoável mas depende de grande esforço do atacante), e sim o fato de
ser mais difícil rastrear em função do mecanismo indireto.

Para detectar um DRDoS em andamento, um que não cause falhas de serviço
muito claras, você precisaria de um baseline de quantos TCP RSTs compõe a
proporção típica de tráfego (analisando-o em detalhe para garantir que já
não haja um ataque desses em andamento), e compará-la com a proporção a cada
instante. Ou inserir algum mecanismo stateful, que vai reclamar "RST do quê,
cara-pálida ?".


Rubens


----- Original Message ----- 
From: "Daniel Kratz" <kratz at vant.com.br>
To: "Grupo de Trabalho em Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Sent: Sunday, February 15, 2004 12:08 PM
Subject: [GTER] FloodGuard e DRDoS


>     Analisando a solução FloodGuard proposta na thread anterior sobre
> praticas na detecção e bloqueio de DDoS vi que a solução fala em diversos
> momentos sobre DRDoS (Distributed Reflexive DoS)... Para mim ainda não é
> claro se esse tipo de ataque realmente existe ou não... Esse
questionamento
> não é de hoje... Alguém da lista já presenciou algum ataque que deste tipo
ou
> desde janeiro de 2002 estamos sendo "sortudos" e nunca fomos o alvo?



More information about the gter mailing list