[GTER] Ataque Ddos

Rubens Kuhl Jr. rubensk at gmail.com
Thu Oct 19 09:49:52 -03 2006 

On 10/19/06, Antonio Carlos Pina <antoniocarlospina at gmail.com> wrote:
> Não é só isso por isso que evita-se ACL. Dependendo do tamanho do ataque, a
> filtragem por ACL pode "derrubar" um roteador de grande porte facilmente.
> Por isso usa-se mundialmente a filtragem por ip route para null.

No caso do fornecedor citado, a Embratel, os roteadores internacionais
são de um fabricante diferente ("fabricante 2", se alguém lembrar das
minhas palestras no GTER) do que ela usa normalmente em seu
backbone("fabricante 1"), justamente para permitir filtragens por ACL
sem esse tipo de impacto.

> A filtragem por ACL também não se aplica se o perfil do tráfego for muito
> variado, complexo ou endereçado à portas de serviço "normais", por
> exemplo milhares de origens spoofed enviando o ataque para sua porta tcp 80.

O esforço de caracterização é uma tarefa certamente complexa, mas há
produtos para isso. Quer por análise de flows nos roteadores da
operadora, quer por redirecionamento de todo o fluxo do cliente para
um dispositivo de análise.

> Como bloquear 5000 endereços ? E o pior: Porque bloquear esses 5000
> endereços já que a origem pode não ser nenhum deles ?

Se a conclusão da caracterização for de IP spoofing, de fato não há
outra saída. Mas muitos dos ataques hoje são feitos com IPs reais de
máquinas zumbis, para fazer conexões que conseguem fechar o 3-way
handshake e gerar requisições válidas. O fato de syn-flood poder ser
contido usando syn-cookies, syn-proxies ou equivalentes torna esse
ataque menos atrativo.

> DDoS é um problema em que a solução é sempre na base do "best effort".

Com direito a "better effort" para clientes maiores ou serviços da
própria operadora, e a "not so much effort" para os outros.

> Quem diz que tem a solução "limpa" para DDoS está mentindo.

Uma solução com redirecionamento do tráfego para um ponto de mitigação
e posterior devolução para o cliente é o mais próximo de uma solução
"limpa" de que a tecnologia atual dispõe, mas não há notícia de
serviço assim estar disponível no .br.


Rubens

More information about the gter mailing list