[GTER] Ataque Ddos

Rubens Kuhl Jr. rubensk at gmail.com
Thu Oct 19 12:35:51 -03 2006 

> > No caso do fornecedor citado, a Embratel, os roteadores internacionais
> > são de um fabricante diferente ("fabricante 2", se alguém lembrar das
> > minhas palestras no GTER) do que ela usa normalmente em seu
> > backbone("fabricante 1"), justamente para permitir filtragens por ACL
> > sem esse tipo de impacto.
>
>
> E a capacidade de absorção de pacotes do fabricante 2 é ilimitada ? Ou seja,
> independe do tamanho do ataque, digamos...2 milhões de pacotes/seg ?

Não é ilimitada, mas é superior a 2 milhões de pacotes por segundo,
algo como uns 16 milhões de pacotes por segundo mesmo com um grande
conjunto de filtros.

Se você tiver esse roteador ligado aos upstreams por 4 interfaces
Gigabit Ethernet, cada uma com potencial de gerar 1.5 milhão de
pacotes por segundo, os 6 milhões de pacotes por segundo possíveis
ainda estão abaixo da capacidade máxima do equipamento.


> de milhares). O exemplo do TCP na porta 80 pode ser trocado para UDP na 53
> ;-)

Existe uma peculiaridade com UDP 53 de que o tráfego com root-servers
e gtld-servers pode ser impactado por um filtro de bloqueio de tráfego
internacional.

Minha sugestão para isso é ter um template com os root-servers,
cctld-servers e gtld-servers já prontos para não filtrar em ACL.

E, infelizmente, considerar como possível cenário de ataque spoofing
justamente desses IPs.

> Observe que, como você diz, não há muita saída. Essa é a questão:
> Pessoas e empresas que afirmam ser simples bloquear ataques DoS com 100% de
> eficiência, quando não é esta verdade.

Simples não é mesmo. Mas o fato desses ataques serem muito comuns
aponta para que backbones e IDCs precisem de soluções para DoS, e
sejam transparentes com seus clientes sobre que mecanismos de
mitigação eles dispõe.

> > Uma solução com redirecionamento do tráfego para um ponto de mitigação
> > e posterior devolução para o cliente é o mais próximo de uma solução
> > "limpa" de que a tecnologia atual dispõe, mas não há notícia de
> > serviço assim estar disponível no .br.
>
>
> Voltaríamos à questão 1: Até "quanto" a infra da operadora consegue suportar
> e absorver um ataque, dependendo do tamanho deste ?

Essa capacidade não precisa ser infinita, ela só precisa ser
compatível com o provisionamento externo do backbone ou IDC.


Rubens

More information about the gter mailing list