[GTER] SYN FLOOD ATTACK
Ewerton Vieira
evieira at arbor.net
Tue Sep 26 09:03:42 -03 2006
Boas noticias: Existe solucao para o problema. Esta implementada em varios
provedores. E em breve devemos te-la implementada no Brasil (esta em testes
nesse momento).
Ha varias alternativas para mitigar um ataque de DoS, dependendo de como ele
foi gerado. E' bem verdade que o pessoal anda cada vez mais criativo... O
ponto chave e' a deteccao do ataque que vai te dizer qual a melhor forma de
bloquear o ataque.
Por exemplo, um ataque spoofed normalmente vai entrar por uma unica interface
da rede, normalmente num router internacional. E com uma access list ali voce
pode bloquear o ataque com minimo impacto no trafego normal.
Um ataque de uma botnet bem distribuida e' bem mais complicado de resolver
porque entra por varios lados. Nesse caso a solucao e' usar um equipamento
especializado em filtrar ataques, um scrubber, como o Cisco Guard.
Os scrubbers tem varios algoritmos para tratar varios tipos de ataques. Um
dos mais faceis de resolver e' o SYN flood. Um dos metodos para resolver SYN
flood e' anotar o IP de origem e descartar o pacote SYN. Se o mesmo IP mandar
outro SYN antes de 1 segundo por exemplo, o equipamento deixa passar o
pacote.
Hoje em dia esse tipo de tratamento de ataques e' vendido como servico
especial a clientes que tem e-commerce por varios provedores do mundo. Em
breve deveremos ter essa oferta no Brasil tambem, baseado na solucao chamada
CleanPipes composta pelo Peakflow SP da Arbor, fazendo a deteccao de ataques,
e o Cisco Guard filtrando os ataques identificados pelo Peakflow SP.
Ewerton Vieira
Arbor Networks
Consulting Engineering
Latin America and the Caribbean
Office: +1 (954) 212.1478
Mobile: +1 (954) 882.5539
SMS: 9548825539 at cingularme.com
evieira at arbor.net
-----Original Message-----
From: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] On
Behalf Of Antonio Carlos Pina
Sent: Monday, September 25, 2006 2:25 PM
To: Grupo de Trabalho de Engenharia e Operacao de Redes
Subject: Re: [GTER] SYN FLOOD ATTACK
Não, não. Se algo existe nesse sentido, não está implementado em lugar
nenhum. O que existe hoje são filtragens feitas em pontos cada vez mais
próximos da origem do atacante. Você exporta o IP "alvo" e as redes acima
fazer o roteamento para nulo.
Existe uma forma de fazer roteamento para nulo automaticamente em roteadores
Cisco caso o source de um IP venha por uma interface diferente da esperada,
entretanto isso só funciona quando você sabe muito bem os possíveis sources
ligados a cada interface do roteador (em ambiente bgp-full, nem pensar).
O que ajudaria a resolver seria se cada ponto (CADA PONTO mesmo) de conexão
com a Internet tivesse filtros Antispoof. Pois assim seria mais simples
encontrar a origem dos ataques e resolver a(s) provável(is) vulnerabilidades
que permitem ao hacker utilizar a máquina para ataque. Mas...isso ainda é
distante.
Abs.
Em 25/09/06, Fabiano <fabiano.br at uol.com.br> escreveu:
>
>
> At 14:37 25/9/2006, you wrote:
> >Entretanto, nenhuma delas resolverá se a banda for toda consumida.
> >Não há nenhuma defesa contra um ataque que consome a banda OU que
> >ultrapassa a capacidade de switching dos ativos do Core de qualquer
> >Datacenter.
> >
> >Infelizmente, é a realidade da Internet.
> >
> >Abs.
>
> a muito tempo,me recordo ter visto uma
> apresentação sobre "futuras tecnologias" da cisco
> (na época...) em que os routers se falavam e eram
> capazes entre sí de coordenarem um bloqueio (ou
> controle de banda) a uma possível origem atacante
> dos ou ddos. Alguém tem novas informações ?
>
> PS : Desde que todos nesta cadeia fossem cisco e
> com estas "features" habilitadas como datacenters,empresas,ISPs,etc...
>
> []s
> Fabiano
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list