[GTER] Duvidas à respeito de ataque de negação de serviço (DoS)
Julio Arruda
jarruda-gter at jarruda.com
Tue May 27 17:27:16 -03 2008
IPS/IDS pelo que sei nao e' usado sozinho para isto, por alguns pontos:
1- So pode detectar ataque 'naquele ponto' (onde ele ve o trafego), um
DDoS pode vir por todo o peering edge, e gerar collateral damage ANTES
do ponto onde esta o IDS/IPS. Exemplo, ataque de 2.5 Gbps que passa por
um link de 1Gbps levando ao ponto de presenca onde voce se conecta ao
upstream, o IDS/IPS neste ponto nao pode fazer muito..
2- IPS/IDS, pelo que sei, nao fazem deteccao baseada em network
behaviour analysis, exemplo, se voce tem um aumento de trafego de 10
vezes (http get flood), o IPS/IDS nao veria, a menos que corresponda a
uma assinatura especifica.
"defesa por camadas' geralmente e' a abordagem para servicos de Clean
Pipes em operadoras, usando netflow no peering edge para poder disparar
mitigacao no peering edge como 'primeira linha de defesa', o segundo
ponto monitorado com telemetria baseada em netflow geralmente e' o
acesso, mas ai a escala comeca a crescer muito.
#include <disclaimer.h> -> Trabalho na Arbor..
Marcus Andree wrote:
> Me referia a um IPS/IDS sendo disponibilizado pela operadora, nao
> do lado do cliente.
>
> Todos os contratos que dispomos com as operadoras
> prevem este tipo de salvaguarda.
>
> On 5/27/08, Antonio Carlos Pina <antoniocarlospina at gmail.com> wrote:
>> O IPS/IDS nada ajudam quando o ataque é maior que a capacidade total do
>> link.
>> Blackhole é a solução realmente.
>>
>>
>>
>> 2008/5/27 Marcus Andree <marcusandree at gmail.com>:
>>
>>> Me parece que os problemas de seguranca sejam melhor tratados
>>> com um software de seguranca (IPS/IDS), nao com roteamento...
>>>
>>> <snip>
>>>
>>>> O que vocês, com ampla experiencia pensam a respeito dessa solução? É
>>>> viável? Existem outras saídas?
More information about the gter
mailing list