[GTER] Ataque Ddos

Adailton Silva adailton at icomnet.com.br
Thu Oct 19 09:49:51 -03 2006


Isso mesmo. Em resumo, tudo passa pela caracterização do tráfego.

[]s,

Rubens Kuhl Jr. wrote:
> On 10/19/06, Antonio Carlos Pina <antoniocarlospina at gmail.com> wrote:
>   
>> Não é só isso por isso que evita-se ACL. Dependendo do tamanho do ataque, a
>> filtragem por ACL pode "derrubar" um roteador de grande porte facilmente.
>> Por isso usa-se mundialmente a filtragem por ip route para null.
>>     
>
> No caso do fornecedor citado, a Embratel, os roteadores internacionais
> são de um fabricante diferente ("fabricante 2", se alguém lembrar das
> minhas palestras no GTER) do que ela usa normalmente em seu
> backbone("fabricante 1"), justamente para permitir filtragens por ACL
> sem esse tipo de impacto.
>
>   
>> A filtragem por ACL também não se aplica se o perfil do tráfego for muito
>> variado, complexo ou endereçado à portas de serviço "normais", por
>> exemplo milhares de origens spoofed enviando o ataque para sua porta tcp 80.
>>     
>
> O esforço de caracterização é uma tarefa certamente complexa, mas há
> produtos para isso. Quer por análise de flows nos roteadores da
> operadora, quer por redirecionamento de todo o fluxo do cliente para
> um dispositivo de análise.
>
>   
>> Como bloquear 5000 endereços ? E o pior: Porque bloquear esses 5000
>> endereços já que a origem pode não ser nenhum deles ?
>>     
>
> Se a conclusão da caracterização for de IP spoofing, de fato não há
> outra saída. Mas muitos dos ataques hoje são feitos com IPs reais de
> máquinas zumbis, para fazer conexões que conseguem fechar o 3-way
> handshake e gerar requisições válidas. O fato de syn-flood poder ser
> contido usando syn-cookies, syn-proxies ou equivalentes torna esse
> ataque menos atrativo.
>
>   
>> DDoS é um problema em que a solução é sempre na base do "best effort".
>>     
>
> Com direito a "better effort" para clientes maiores ou serviços da
> própria operadora, e a "not so much effort" para os outros.
>
>   
>> Quem diz que tem a solução "limpa" para DDoS está mentindo.
>>     
>
> Uma solução com redirecionamento do tráfego para um ponto de mitigação
> e posterior devolução para o cliente é o mais próximo de uma solução
> "limpa" de que a tecnologia atual dispõe, mas não há notícia de
> serviço assim estar disponível no .br.
>
>
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
>   




More information about the gter mailing list