[GTER] Ataque Ddos

Rubens Kuhl Jr. rubensk at gmail.com
Thu Oct 19 17:00:48 -03 2006


> Como bloquear 5000 endereços ? E o pior: Porque bloquear esses 5000
> endereços já que a origem pode não ser nenhum deles ?

Uma das técnicas de bloqueio de DDoS envolve feeds BGP com uma lista
de IPs atacantes; esse feed, que é propagado dentro da operadora por
IBGP, contém um conjunto de rotas /32 para esses IPs marcados com uma
community específica. É bem similar ao blackhole-routing, só que
aplicado a IPs origem (esses IPs são usados quer como referência de
RPF, quer como referência de VRF).

Isso escala para várias milhares de entradas; o detalhe é que a
inserção nessa lista precisa ser feita apenas para IPs que
comprovadamente sejam de botnets, algo que a caracterização de tráfego
precisa dizer.

Eu vejo isso sendo usado mais usado para bloquear IPs de botnet
controllers do que de zumbis, mas é igualmente aplicável.


Rubens



More information about the gter mailing list