[GTER] Problemas de ataque.

Julio Arruda jarruda-gter em jarruda.com
Sexta Fevereiro 8 18:58:34 BRST 2008


Nelson Murilo wrote:
> Os pings sao request ou reply? ou outro tipo? 
> 
> Uma forma de tentar mininizar o problema seria verificar se o
> inicio de pings e´ precedido de uma resolucao de nome, se for 
> poderia ser usado o BIND com visoes diferentes, ok pra clientes e 
> 127.0.0.1 pra o resto. 
> Se nao me engano, o Rubens comentou isso nesta mesma lista 
> uns dias atras. 
> 

Humm...Um tipo de "dns zombie detection/prevention" :-)...

O problema seria mapear as source IPs para os views, nao ? Isto e', 
primeiro, detectar as origens, depois, comunicar estas origens ao 
servidor que responde por este dominio..
Tem um pequeno problema, se for caso de spoofing e nao zombies usando 
seus proprios IPs, voce vai estar gerando problemas para os 'spoofed 
IPs', eles vao perder acesso aquele FQDN 'protegido'.

PS:
Sera que tem um SRV record para DDoS :-) ? _ddos._udp.domain.com


> ./nelson -murilo
> 
> On Thu, Feb 07, 2008 at 12:02:47PM -0200, Leonardo Rodrigues Magalhães wrote:
>>     O grande problema aqui, seja com bloqueio ou seja com blackhole, é 
>> que nada disso impede que o tráfego icmp CHEGUE no roteador dele. E se 
>> chegou no roteador, já consumiu banda de entrada. E dependendo do 
>> tamanho do ataque, NADA feito no roteador do cliente pode ser suficiente 
>> pra diminuir o tráfego recebido.
>>
>>     O bloqueio ou blackhole ou qualquer outro método pode até impedir 
>> que o tráfego passe 'pra dentro' da rede dele, mas nada disso vai 
>> impedir que ele chegue lá. Nesse caso caberia SIM às teles envolvidas 
>> fazerem o bloqueio em seus roteadores, ANTES de encaminhar pro roteador 
>> do cliente. Mas claro, como você percebeu, elas fazem corpo mole nesses 
>> casos. É mais fácil deixar o cliente se ferrar :)
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list