[GTER] Ataque Ddos
Rubens Kuhl Jr.
rubensk at gmail.com
Thu Oct 19 17:00:48 -03 2006
> Como bloquear 5000 endereços ? E o pior: Porque bloquear esses 5000
> endereços já que a origem pode não ser nenhum deles ?
Uma das técnicas de bloqueio de DDoS envolve feeds BGP com uma lista
de IPs atacantes; esse feed, que é propagado dentro da operadora por
IBGP, contém um conjunto de rotas /32 para esses IPs marcados com uma
community específica. É bem similar ao blackhole-routing, só que
aplicado a IPs origem (esses IPs são usados quer como referência de
RPF, quer como referência de VRF).
Isso escala para várias milhares de entradas; o detalhe é que a
inserção nessa lista precisa ser feita apenas para IPs que
comprovadamente sejam de botnets, algo que a caracterização de tráfego
precisa dizer.
Eu vejo isso sendo usado mais usado para bloquear IPs de botnet
controllers do que de zumbis, mas é igualmente aplicável.
Rubens
More information about the gter
mailing list