[GTER] Ataque Ddos
Antonio Carlos Pina
antoniocarlospina at gmail.com
Thu Oct 19 10:58:29 -03 2006
Adailton,
Rota para null0 funciona pois o endereço roteado é o destino e não a origem.
Consulte "blackhole server" na Internet para ver como as operadoras fazem
isso.
Essa questão que você colocou de porta origem não pode ser levado a ferro e
fogo. Endereços NAT que enviem e-mail para você, por exemplo, podem
apresentar portas origens acima de 20000.
Bloquear esse perfil seria bloquear parte do tráfego legítimo. Se essa perda
é aceitável, ok.
Abs.
Em 19/10/06, Adailton Silva <adailton at icomnet.com.br> escreveu:
>
> Pina,
>
> Creio que voce não entendeu. A pegunta inicial foi: "nao teria como a
> embratel filtrar apenas o ataque e nao todo conteudo
> internacional.apenas o ataque". A resposta sim foi específica para essa
> pergunta e não tratou de nenhuma solução "limpa" para DDOS.
>
> Exemplo efetivo: Num dos ataque DDOS (Mailbomb para um servidor SMTP)
> que tratamos, da "observação do perfil de tráfego" que as portas de
> origem eram sempre acima de 20000, não importando os endereços IP de
> origem. Observamos também que nas conexões legítimas as portas de origem
> eram sempre abaixo de 10000. Assim, mesmo coma possibilidade remota de
> filtragem de tráfego legítimo SMTP, o filtro resolveu o problema.
>
> Rota para "/dev/null" exige menos processamento de ACLs, mas só é
> possível quando se sabe exatamente as origens e destinos envolvidos. Num
> ataque DDOS com 300 endereços de origens, mudando dinamicamente, rota
> nula torna-se impraticável.
>
> []s,
>
> Antonio Carlos Pina wrote:
> > Não é só isso por isso que evita-se ACL. Dependendo do tamanho do
> ataque, a
> > filtragem por ACL pode "derrubar" um roteador de grande porte
> facilmente.
> > Por isso usa-se mundialmente a filtragem por ip route para null.
> >
> > A filtragem por ACL também não se aplica se o perfil do tráfego for
> muito
> > variado, complexo ou endereçado à portas de serviço "normais", por
> > exemplo milhares de origens spoofed enviando o ataque para sua porta tcp
> 80.
> > Como bloquear 5000 endereços ? E o pior: Porque bloquear esses 5000
> > endereços já que a origem pode não ser nenhum deles ?
> >
> > DDoS é um problema em que a solução é sempre na base do "best effort".
> Quem
> > diz que tem a solução "limpa" para DDoS está mentindo.
> >
> > Abs,
> > Pina
> >
> >
> > Em 19/10/06, Adailton Silva <adailton at icomnet.com.br> escreveu:
> >
> >> Tem sim, mas voce deve observar o perfil do tráfego ddos e especializar
> >> o filtro com protocolo (tcp, udp, etc), portas de origem, portas
> >> destino, endereços destino, etc.
> >>
> >> []s,
> >>
> >> Ldd wrote:
> >>
> >>> Prezados
> >>>
> >>> Sofri um ataque ddos hoje vindo de links internacionais saturando
> meu
> >>>
> >> link, solicitei a embratel e eles fizeram o filtro que resolveu o
> problema
> >> do ataque, so que eles filtrarm todo o trafico internacional para o ip
> que
> >> estava sofrendo o ataque.. resultato o problema foi resolviso mais
> deste ip
> >> nao acesso nenhum serviço que esteja em algum link internacional, tipo
> msm
> >> orkut, e outr site etc,,,
> >>
> >>> A pergunta é : nao teria como a embratel filtrar apenas o ataque e nao
> >>>
> >> todo conteudo internacional.
> >>
> >>> Obrigado,
> >>>
> >>> --
> >>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>
> >>>
> >>>
> >>>
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >>
> >>
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> >
> >
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list