[GTER] Duvidas à respeito de ataque de negação de serviço (DoS)

Julio Arruda jarruda-gter at jarruda.com
Tue May 27 14:46:40 -03 2008 

Alfredo Dal´Ava wrote:
> Senhores,
> 
>  não sei se é a lista adequada, mas gostaria de discutir a respeito de
> ataques de negação de serviço. Uma rede que administro vem sofrendo ataques
> a pelo menos 2 dias e não temos outro recurso a não ser contar com a boa
> vontade da operadora em bloquear os endereços IPs em seus roteadores de
> borda. Apesar de adicionar uma linha de comando em um roteador ser
> relativamente simples, o dificil é conseguir contactar na operadora alguem
> que tenha capacidade para tal feito. Na ultima onda de ataques, levamos
> simplesmente 10 horas para resolver o problema, entre ligações para diversos
> contatos, horas na fila de espera de atendimento, etc.
> 
#include <disclaimer.h> (Trabalho na Arbor Networks, que tem produtos 
nesta area).

Existem provedores que oferecem managed services do tipo "Clean Pipes", 
onde pode ser oferecido um Portal Web a um sistema onde voce pode criar 
mitigacoes voce mesmo, para objetos definidos pelo provedor como seus 
recursos. (pelos Ranges CIDR por exemplo)

> Teria alguma outra solução nestes casos, visto que não possuimos acesso aos
> roteadores da operadora e que é dificil este contato?
> Estive pensando em uma solução com BGP, ou BGP+ASN próprio. Assim eu
> poderia, como medida emergencial, parar de divulgar a rota de um endereço
> que estivesse sendo atacado, fazendo com que o trafego para esse endereço
> parasse dentro do backbone da operadora, evitando de prejudicar os demais
> serviços que estão por trás deste link.
> 
> O que vocês, com ampla experiencia pensam a respeito dessa solução? É
> viável? Existem outras saídas?

O que voce poderia usar do seu lado, com BGP e se o seu upstream 
suportar, seria algo chamado Blackhole ou neste caso especifico, RTBH, 
remote triggered blackhole, onde voce usaria uma comunidade definida 
pelo seu upstream para 'anunciar' um blackhole, uma rota que descartaria 
trafego (todo, so dos peers internacionais, depende de como sao as 
comunidades definidas). No site do NANOG tem varias apresentacoes a 
respeito..
http://www.nanog.org/subjects.html

More information about the gter mailing list