[GTER] Problemas de ataque.
Julio Arruda
jarruda-gter at jarruda.com
Fri Feb 8 18:58:34 -02 2008
Nelson Murilo wrote:
> Os pings sao request ou reply? ou outro tipo?
>
> Uma forma de tentar mininizar o problema seria verificar se o
> inicio de pings e´ precedido de uma resolucao de nome, se for
> poderia ser usado o BIND com visoes diferentes, ok pra clientes e
> 127.0.0.1 pra o resto.
> Se nao me engano, o Rubens comentou isso nesta mesma lista
> uns dias atras.
>
Humm...Um tipo de "dns zombie detection/prevention" :-)...
O problema seria mapear as source IPs para os views, nao ? Isto e',
primeiro, detectar as origens, depois, comunicar estas origens ao
servidor que responde por este dominio..
Tem um pequeno problema, se for caso de spoofing e nao zombies usando
seus proprios IPs, voce vai estar gerando problemas para os 'spoofed
IPs', eles vao perder acesso aquele FQDN 'protegido'.
PS:
Sera que tem um SRV record para DDoS :-) ? _ddos._udp.domain.com
> ./nelson -murilo
>
> On Thu, Feb 07, 2008 at 12:02:47PM -0200, Leonardo Rodrigues Magalhães wrote:
>> O grande problema aqui, seja com bloqueio ou seja com blackhole, é
>> que nada disso impede que o tráfego icmp CHEGUE no roteador dele. E se
>> chegou no roteador, já consumiu banda de entrada. E dependendo do
>> tamanho do ataque, NADA feito no roteador do cliente pode ser suficiente
>> pra diminuir o tráfego recebido.
>>
>> O bloqueio ou blackhole ou qualquer outro método pode até impedir
>> que o tráfego passe 'pra dentro' da rede dele, mas nada disso vai
>> impedir que ele chegue lá. Nesse caso caberia SIM às teles envolvidas
>> fazerem o bloqueio em seus roteadores, ANTES de encaminhar pro roteador
>> do cliente. Mas claro, como você percebeu, elas fazem corpo mole nesses
>> casos. É mais fácil deixar o cliente se ferrar :)
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list