[GTER] Ataque Ddos

Adailton Silva adailton at icomnet.com.br
Thu Oct 19 09:47:00 -03 2006 

Pina,

Creio que voce não entendeu. A pegunta inicial foi: "nao teria como a 
embratel filtrar apenas o ataque e nao todo conteudo 
internacional.apenas o ataque". A resposta sim foi específica para essa 
pergunta e não tratou de nenhuma solução "limpa" para DDOS.

Exemplo efetivo: Num dos ataque DDOS (Mailbomb para um servidor SMTP) 
que tratamos, da "observação do perfil de tráfego" que as portas de 
origem eram sempre acima de 20000, não importando os endereços IP de 
origem. Observamos também que nas conexões legítimas as portas de origem 
eram sempre abaixo de 10000. Assim, mesmo coma possibilidade remota de 
filtragem de tráfego legítimo SMTP, o filtro resolveu o problema.

Rota para "/dev/null" exige menos processamento de ACLs, mas só é 
possível quando se sabe exatamente as origens e destinos envolvidos. Num 
ataque DDOS com 300 endereços de origens, mudando dinamicamente, rota 
nula torna-se impraticável.

[]s,

Antonio Carlos Pina wrote:
> Não é só isso por isso que evita-se ACL. Dependendo do tamanho do ataque, a
> filtragem por ACL pode "derrubar" um roteador de grande porte facilmente.
> Por isso usa-se mundialmente a filtragem por ip route para null.
>
> A filtragem por ACL também não se aplica se o perfil do tráfego for muito
> variado, complexo ou endereçado à portas de serviço "normais", por
> exemplo milhares de origens spoofed enviando o ataque para sua porta tcp 80.
> Como bloquear 5000 endereços ? E o pior: Porque bloquear esses 5000
> endereços já que a origem pode não ser nenhum deles ?
>
> DDoS é um problema em que a solução é sempre na base do "best effort". Quem
> diz que tem a solução "limpa" para DDoS está mentindo.
>
> Abs,
> Pina
>
>
> Em 19/10/06, Adailton Silva <adailton at icomnet.com.br> escreveu:
>   
>> Tem sim, mas voce deve observar o perfil do tráfego ddos e especializar
>> o filtro com protocolo (tcp, udp, etc), portas de origem, portas
>> destino, endereços destino, etc.
>>
>> []s,
>>
>> Ldd wrote:
>>     
>>> Prezados
>>>
>>>   Sofri um ataque ddos hoje vindo de links internacionais saturando meu
>>>       
>> link, solicitei a embratel e eles fizeram o filtro que resolveu o problema
>> do ataque, so que eles filtrarm todo o trafico internacional para o ip que
>> estava sofrendo o ataque.. resultato o problema foi resolviso mais deste ip
>> nao acesso nenhum serviço que esteja em algum link internacional, tipo msm
>> orkut, e outr site etc,,,
>>     
>>> A pergunta é : nao teria como a embratel filtrar apenas o ataque e nao
>>>       
>> todo conteudo internacional.
>>     
>>> Obrigado,
>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>>
>>>
>>>       
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>>     
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
>

More information about the gter mailing list