[GTER] RES: Resposta a post 2006 - Ataques de DDoS, será que existe uma solução ?

[Toledo, Luis Carlos]

Exatamente Júlio, olhando por quem realiza o ataque via DDOS, quando IP de
destino simplesmente some, isso pode ser interpletado que ele caiu e que o
ataque foi bem sucedido, sendo a partir daí considerado vulnerável. Já o IP
de destino resistindo ao ataque normalmente o atacante acaba desistindo e
indo para outro destino.

Mais fácil adicionar uma rota baseada na origem que encaminha o trafego do
atacante para uma máquina boba.

Abs

> 
> Guilherme Alberto wrote:
> > Júlio,
> > 
> > Acredito que você não tenha entendido. A "vitima" tendo BGP, ASN 
> > próprio e comunidades de blackhole e synchole liberadas pelas 
> > operadoras o sistema resolve sim.
> > No nosso caso, possuimos uma classe /10, ou seja, somos 
> ASN, possuimos 
> > o BGP e estas comunidades são liberadas pelas operdoras 
> para anuncio 
> > em /32. Detectado um ataque internacional (na maioria dos casos são 
> > internacionais) o sistema efetua em 8 segundos anuncio blackhole em 
> > /32, se for ataque nacional simplesmente faz o synchole no /32. Tem 
> > outras funções de avisar o ASN do atacante, e também por exemplo se 
> > atacar vários IPs da classe ao mesmo tempo faz bloqueio no /24 se 
> > estiver enchendo o link.
> > 
> > Você perguntou se a The Planet comprou a Ev1 ? Sim, isto faz tempo.
> 
> Entendi, o que estou dizendo, e' que o blackhole, nao resolve 
> problemas de DDoS em que o resource sendo atacado tem que ser 
> protegido, o que ele ajuda (e faz parta, podemos dizer, do 
> 'kit de ferramenta' de defesa), e' 
> a isolar parte da network, para que outras partes nao sofram 
> dano colateral.
> Exemplo, se e' um HTTP flood contra o servidor da Amazon, 
> eles nao podem fazer um blackhole daquele trafego :-)...e por 
> ai vai, outros servicos podem ter a mesma caracteristica, em 
> que se voce fizer um blackhole (e muitas vezes, ate mesmo 
> ACLs), voce 'completou' o DDoS contra aquele ip sob ataque..
>