[GTER] Problemas de ataque.

Alessandro Veras Santos alessandro.veras at oi.net.br
Fri Feb 8 17:37:53 -02 2008 

Não acredito que realmente as operadoras façam "corpo mole" como o colega mencionou abaixo; O que há uma grande confusão hoje é de quem é a responsabilidade sobre a classificação do tráfego considerado indesejável. A partir do momento que a operadora fornece o ip para o cliente é responsabilidade deste gerenciar o tráfego destinado a sua rede.
A operadora não tem responsabilidade em mitigar o tráfego e identificar o tipo de tráfego a ser bloqueado. A operadora pode sim realizar qualquer tipo de bloqueio solicitado pelo cliente afim de bloquear o tráfego que o cliente considera malicioso. Não acredito que as operadoras neguem este tipo de solicitação. Na verdade o "corpo mole" é do cliente que quer que a operadora resolva um problema que é interno a sua rede.

Att,

Alessandro Veras Santos

-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de gter-request at eng.registro.br
Enviada em: sexta-feira, 8 de fevereiro de 2008 12:00
Para: gter at eng.registro.br
Assunto: gter Digest, Vol 59, Issue 6

Send gter mailing list submissions to
	gter at eng.registro.br

To subscribe or unsubscribe via the World Wide Web, visit
	https://eng.registro.br/mailman/listinfo/gter
or, via email, send a message with subject or body 'help' to
	gter-request at eng.registro.br

You can reach the person managing the list at
	gter-owner at eng.registro.br

When replying, please edit your Subject line so it is more specific
than "Re: Contents of gter digest..."


Today's Topics:

   1. Re: Problemas de ataque. (Leonardo Rodrigues Magalh?es)
   2. Re: Problemas de ataque. (Rubens Kuhl Jr.)
   3. Re: Problemas de ataque. (Nelson Murilo)
   4. Re: Problemas de ataque. (itamar)
   5. Duvida sobre BGP (Matias Breunig)


----------------------------------------------------------------------

Message: 1
Date: Thu, 07 Feb 2008 12:02:47 -0200
From: Leonardo Rodrigues Magalh?es 	<leolistas at solutti.com.br>
Subject: Re: [GTER] Problemas de ataque.
To: Grupo de Trabalho de Engenharia e Operacao de Redes
	<gter at eng.registro.br>
Message-ID: <47AB0F87.9070102 at solutti.com.br>
Content-Type: text/plain; charset=ISO-8859-1; format=flowed


    O grande problema aqui, seja com bloqueio ou seja com blackhole, ? 
que nada disso impede que o tr?fego icmp CHEGUE no roteador dele. E se 
chegou no roteador, j? consumiu banda de entrada. E dependendo do 
tamanho do ataque, NADA feito no roteador do cliente pode ser suficiente 
pra diminuir o tr?fego recebido.

    O bloqueio ou blackhole ou qualquer outro m?todo pode at? impedir 
que o tr?fego passe 'pra dentro' da rede dele, mas nada disso vai 
impedir que ele chegue l?. Nesse caso caberia SIM ?s teles envolvidas 
fazerem o bloqueio em seus roteadores, ANTES de encaminhar pro roteador 
do cliente. Mas claro, como voc? percebeu, elas fazem corpo mole nesses 
casos. ? mais f?cil deixar o cliente se ferrar :)

Julio Arruda escreveu:
> Pelo que o Rafael falou, Tomas, uma rota blackhole nao seria possivel 
> (varios destinos), portanto, ele nao tem como fazer o 'desvio' do 
> trafego de maneira simples (alem do fato de que, se ele desviar ja 
> 'dentro da rede dele', a banda ja foi consumida :-).
>
> Em teoria, voce sobrevive sem ICMP (pmtud a parte), so que voce 
> mencionou que eles nao podem filtrar so por protocolo..
>
> Em uma carrier oferecendo um servico de Clean Pipes, isto seria mitigado 
> provavelmente com um scrubber.
>   

-- 


	Atenciosamente / Sincerily,
	Leonardo Rodrigues
	Solutti Tecnologia
	http://www.solutti.com.br

	Minha armadilha de SPAM, N?O mandem email
	gertrudes at solutti.com.br
	My SPAMTRAP, do not email it






------------------------------

Message: 2
Date: Thu, 7 Feb 2008 12:17:47 -0200
From: "Rubens Kuhl Jr." <rubensk at gmail.com>
Subject: Re: [GTER] Problemas de ataque.
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
	<gter at eng.registro.br>
Message-ID:
	<6bb5f5b10802070617y46c1e48cwbf8b16c79663a73c at mail.gmail.com>
Content-Type: text/plain; charset=ISO-8859-1

>     O bloqueio ou blackhole ou qualquer outro m?todo pode at? impedir
> que o tr?fego passe 'pra dentro' da rede dele, mas nada disso vai
> impedir que ele chegue l?. Nesse caso caberia SIM ?s teles envolvidas
> fazerem o bloqueio em seus roteadores, ANTES de encaminhar pro roteador
> do cliente. Mas claro, como voc? percebeu, elas fazem corpo mole nesses
> casos. ? mais f?cil deixar o cliente se ferrar :)

Fora o fato de que se a modalidade de contrata??o for flex?vel, com
consumo medido, a tele ainda pode cobrar de voc? um tr?fego que
deveria sim ? ser considerado quebra de SLA... um ataque com 36 horas
de dura??o ou mais j? ? suficiente para tornar o tr?fego do ataque sua
conta daquele m?s inteiro.


Rubens


------------------------------

Message: 3
Date: Thu, 7 Feb 2008 12:23:42 -0200
From: nelson at pangeia.com.br (Nelson Murilo)
Subject: Re: [GTER] Problemas de ataque.
To: Grupo de Trabalho de Engenharia e Operacao de Redes
	<gter at eng.registro.br>
Message-ID: <20080207142342.GK15942 at pangeia.com.br>
Content-Type: text/plain; charset=iso-8859-1


Os pings sao request ou reply? ou outro tipo? 

Uma forma de tentar mininizar o problema seria verificar se o
inicio de pings e? precedido de uma resolucao de nome, se for 
poderia ser usado o BIND com visoes diferentes, ok pra clientes e 
127.0.0.1 pra o resto. 
Se nao me engano, o Rubens comentou isso nesta mesma lista 
uns dias atras. 

./nelson -murilo

On Thu, Feb 07, 2008 at 12:02:47PM -0200, Leonardo Rodrigues Magalh?es wrote:
> 
>     O grande problema aqui, seja com bloqueio ou seja com blackhole, ? 
> que nada disso impede que o tr?fego icmp CHEGUE no roteador dele. E se 
> chegou no roteador, j? consumiu banda de entrada. E dependendo do 
> tamanho do ataque, NADA feito no roteador do cliente pode ser suficiente 
> pra diminuir o tr?fego recebido.
> 
>     O bloqueio ou blackhole ou qualquer outro m?todo pode at? impedir 
> que o tr?fego passe 'pra dentro' da rede dele, mas nada disso vai 
> impedir que ele chegue l?. Nesse caso caberia SIM ?s teles envolvidas 
> fazerem o bloqueio em seus roteadores, ANTES de encaminhar pro roteador 
> do cliente. Mas claro, como voc? percebeu, elas fazem corpo mole nesses 
> casos. ? mais f?cil deixar o cliente se ferrar :)


------------------------------

Message: 4
Date: Thu, 07 Feb 2008 12:53:06 -0200
From: itamar <itamar at ispbrasil.com.br>
Subject: Re: [GTER] Problemas de ataque.
To: Grupo de Trabalho de Engenharia e Operacao de Redes
	<gter at eng.registro.br>
Message-ID: <47AB1B52.6050002 at ispbrasil.com.br>
Content-Type: text/plain; charset=ISO-8859-1; format=flowed

enxe o saco da TELE

processa eles e para de pagar a mensalidade.

eles nao poderao desligar o seu link equanto o processo nao terminar.

? bem provavel que vc ganhe na justi?a, se  n?o ganhar ? certeza de que 
nao ir? perder.




Leonardo Rodrigues Magalh?es wrote:
>     O grande problema aqui, seja com bloqueio ou seja com blackhole, ? 
> que nada disso impede que o tr?fego icmp CHEGUE no roteador dele. E se 
> chegou no roteador, j? consumiu banda de entrada. E dependendo do 
> tamanho do ataque, NADA feito no roteador do cliente pode ser suficiente 
> pra diminuir o tr?fego recebido.
>
>     O bloqueio ou blackhole ou qualquer outro m?todo pode at? impedir 
> que o tr?fego passe 'pra dentro' da rede dele, mas nada disso vai 
> impedir que ele chegue l?. Nesse caso caberia SIM ?s teles envolvidas 
> fazerem o bloqueio em seus roteadores, ANTES de encaminhar pro roteador 
> do cliente. Mas claro, como voc? percebeu, elas fazem corpo mole nesses 
> casos. ? mais f?cil deixar o cliente se ferrar :)
>
>   



------------------------------

Message: 5
Date: Thu, 7 Feb 2008 12:59:53 -0200
From: "Matias Breunig" <matias at dgnet.com.br>
Subject: [GTER] Duvida sobre BGP
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
	<gter at eng.registro.br>
Message-ID:
	<4a2b01ca0802070659u2fe565c5p627de7870db96937 at mail.gmail.com>
Content-Type: text/plain; charset=ISO-8859-1

Ol? Colegas,

Tenho hoje um cen?rio com alguns circuitos da embratel, s?o 8
circuitos entre 8 e 32Mb em cidades distintas e tamb?m um circuito de
2Mb com a Telemar.
At? aqui era mais econ?mico e est?vel contratar circuitos isolados em
cada cidade. Hoje estamos enfrentando alguns problemas, principalmente
de viabilidade para atendimento em alguns pontos. Ainda n?o ? vi?vel
interligar todas cidades, algumas est?o interligadas mas a infra n?o
suporta toda demanda de tr?fego da cidade remota, para estes casos
gostariamos apenas de passar parte do  tr?fego para suportar o que a
embratel n?o consegue atender.
Nossos clientes  tem redes com "IP v?lido" e ent?o n?o podemos
simplesmente fazer um source routing ou um NAT em determinados
clientes para diferecionar parte do tr?fego para outras cidades.
Este problema poderia ser resolvido com BGP?  Anunciando algumas redes
para sair pelo roteador X e outros pelo roteador Y (na cidade
vizinha).
Estes roteadores que fazem conex?o com a embratel podem ter um AS ?nico?
Caso de exemplo:

Cidade X:
Link embratel 10Mb (sem viabilidade para amplia??o)
Circuito privado com cidade Y:  4Mb

Cidade Y:
Link embratel 32Mb (com viabilidade de amplia??o)

Neste caso gostaria de rotear alguns clientes da cidade X pelo
circuito da cidade Y atrav?s do circuito privado.

Aguardo a sugest?o dos colegas.
Abra?o,
Matias


------------------------------

--
gter digest list    https://eng.registro.br/mailman/listinfo/gter

End of gter Digest, Vol 59, Issue 6
***********************************


Esta mensagem, incluindo seus anexos, pode conter informações privilegiadas e/ou de caráter confidencial, não podendo ser retransmitida sem autorização do remetente. Se você não é o destinatário ou pessoa autorizada a recebê-la, informamos que o seu uso, divulgação, cópia ou arquivamento são proibidos. Portanto, se você recebeu esta mensagem por engano, por favor, nos informe respondendo imediatamente a este e-mail e em seguida apague-a.

More information about the gter mailing list