[GTER] FloodGuard e DRDoS

Daniel Kratz kratz at vant.com.br
Sun Feb 15 15:25:39 -03 2004 

Bem, concordo contigo que eh muito complicado detectar quando voce tem suas
instancias de BGP atacadas, mas quando você sofre o flood nao eh tao
complicado assim...

Por se tratar de um ataque que ter destinho especifico, no caso do GSR o cache
flow seria capaz de nos mostrar com certa consistencia a quantidade de pacotes
e flows... Normalmente antes de executar algum filtro, tentamos fazer
consultas de reverso no DNS e whois para sabermos a orgiem do ataque e tentar
validar o impacto sobre trafego licito.

Eu não conheço nenhum tipo de flood que venha de um GSR ou de um M-XX com
links de core. Provavelmente esse ja seria um forte indicio de DRDoS...Nao
creio que seria incomum termos visto ataques deste tipo contra nossos ativos...

On Sun, 15 Feb 2004 15:31:22 -0200, Rubens Kuhl Jr. wrote
> Muito provavelmente vários desses ataques já tenham ocorrido sem que 
> se tenha notado... o chato desse ataque nem é tanto o poder que tem 
> (que pode ser bem razoável mas depende de grande esforço do atacante)
> , e sim o fato de ser mais difícil rastrear em função do mecanismo indireto.
> 
> Para detectar um DRDoS em andamento, um que não cause falhas de serviço
> muito claras, você precisaria de um baseline de quantos TCP RSTs 
> compõe a proporção típica de tráfego (analisando-o em detalhe para 
> garantir que já não haja um ataque desses em andamento), e compará-
> la com a proporção a cada instante. Ou inserir algum mecanismo 
> stateful, que vai reclamar "RST do quê, cara-pálida ?".
> 
> Rubens
> 
> ----- Original Message ----- 
> From: "Daniel Kratz" <kratz at vant.com.br>
> To: "Grupo de Trabalho em Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Sent: Sunday, February 15, 2004 12:08 PM
> Subject: [GTER] FloodGuard e DRDoS
> 
> >     Analisando a solução FloodGuard proposta na thread anterior sobre
> > praticas na detecção e bloqueio de DDoS vi que a solução fala em diversos
> > momentos sobre DRDoS (Distributed Reflexive DoS)... Para mim ainda não é
> > claro se esse tipo de ataque realmente existe ou não... Esse
> questionamento
> > não é de hoje... Alguém da lista já presenciou algum ataque que deste tipo
> ou
> > desde janeiro de 2002 estamos sendo "sortudos" e nunca fomos o alvo?
> 
> --
> GTER list    https://eng.registro.br/mailman/listinfo/gter


--
kratz at vant.com.br

"O mundo está nas mãos daqueles que têm coragem de sonhar, 
e correr o risco de viver seus sonhos.
Cada qual com seus talentos!"
                                        Paulo Coelho

More information about the gter mailing list