[GTER] Ataque Ddos
Gustavo Rodrigues Ramos
gustavo at acmesecurity.org
Thu Oct 19 12:43:29 -03 2006
Olá Rubens,
Pode-se incluir localmente uma rota para os IPs de origem apontando para
null0 e fazer com que o Unicast RPF dê drop nos pacotes que chegam com
essa origem. Neste caso, o consumo de CPU é muito menor do que uma ACL.
Essa técnica funciona muito bem para ataques de DDoS com um grupo de IPs
de origem bem definido.
Gustavo.
Rubens Kuhl Jr. wrote:
>> O problema do Unicast reverse path ocorre quando o roteador está conectado a
>> múltiplos backbones, pois uma mesma origem pode, realmente, chegar por
>> qualquer interface, não só por aquela que é a sua saída best. Funciona bem
>> com caminhos bem definidos (ex: a rede x.x.x.x só pode vir por aqui e a rede
>> y.y.y.y só pode vir por lá).
>>
>
> O UnicastRPF pode ser usado também em "loose mode", dependendo de
> suporte do equipamento. "ip verify unicast source reachable-via any"
> vai dropar apenas IPs que não estejam na tabela de roteamento, não
> importa a interface por onde entrou.
>
> O que limita a utilidade desse comando como solução única é que
> spoofing pode ser feito dentro dos blocos mundialmente roteados... o
> que se faz é utilizar isso para diminuir a quantidade de pacotes a
> serem tratados por outros elementos de solução anti-DoS.
>
>
> Rubens
>
>
More information about the gter
mailing list