[GTER] Ataque Ddos

Antonio Carlos Pina antoniocarlospina at gmail.com
Thu Oct 19 10:55:20 -03 2006


Rubens,

 On 10/19/06, Antonio Carlos Pina <antoniocarlospina at gmail.com> wrote:
> > Não é só isso por isso que evita-se ACL. Dependendo do tamanho do
> ataque, a
> > filtragem por ACL pode "derrubar" um roteador de grande porte
> facilmente.
> > Por isso usa-se mundialmente a filtragem por ip route para null.
> No caso do fornecedor citado, a Embratel, os roteadores internacionais
> são de um fabricante diferente ("fabricante 2", se alguém lembrar das
> minhas palestras no GTER) do que ela usa normalmente em seu
> backbone("fabricante 1"), justamente para permitir filtragens por ACL
> sem esse tipo de impacto.


E a capacidade de absorção de pacotes do fabricante 2 é ilimitada ? Ou seja,
independe do tamanho do ataque, digamos...2 milhões de pacotes/seg ?

Se a conclusão da caracterização for de IP spoofing, de fato não há
> outra saída. Mas muitos dos ataques hoje são feitos com IPs reais de

máquinas zumbis, para fazer conexões que conseguem fechar o 3-way
> handshake e gerar requisições válidas. O fato de syn-flood poder ser
> contido usando syn-cookies, syn-proxies ou equivalentes torna esse
> ataque menos atrativo.


Concordo quanto à questão do "sem spoofing" (embora continue vendo a
impossiblidade de bloqueio de uma botnet quando os IPs escalam às centenas
de milhares). O exemplo do TCP na porta 80 pode ser trocado para UDP na 53
;-) Observe que, como você diz, não há muita saída. Essa é a questão:
Pessoas e empresas que afirmam ser simples bloquear ataques DoS com 100% de
eficiência, quando não é esta verdade.

> DDoS é um problema em que a solução é sempre na base do "best effort".
>
> Com direito a "better effort" para clientes maiores ou serviços da
> própria operadora, e a "not so much effort" para os outros.


Pode ser.

> Quem diz que tem a solução "limpa" para DDoS está mentindo.
>
> Uma solução com redirecionamento do tráfego para um ponto de mitigação
> e posterior devolução para o cliente é o mais próximo de uma solução
> "limpa" de que a tecnologia atual dispõe, mas não há notícia de
> serviço assim estar disponível no .br.


Voltaríamos à questão 1: Até "quanto" a infra da operadora consegue suportar
e absorver um ataque, dependendo do tamanho deste ?

Abs.
Pina



More information about the gter mailing list