[GTER] RES: Resposta a post 2006 - Ataques de DDoS, será que existe uma solução ?

Julio Arruda jarruda-gter at jarruda.com
Fri Sep 19 17:19:05 -03 2008 

Toledo, Luis Carlos wrote:
> Exatamente Júlio, olhando por quem realiza o ataque via DDOS, quando IP de
> destino simplesmente some, isso pode ser interpletado que ele caiu e que o
> ataque foi bem sucedido, sendo a partir daí considerado vulnerável. Já o IP
> de destino resistindo ao ataque normalmente o atacante acaba desistindo e
> indo para outro destino.
> 
> Mais fácil adicionar uma rota baseada na origem que encaminha o trafego do
> atacante para uma máquina boba.

blackhole + RPF para filtrar por origem, so tem alguns problemas:

1- Syn-flood de origem spoofed, nao resolve
2- Nao e' viavel manter manualmente a lista  de origens se for um 
exercito de zombies

Blackhole e' uma ferramenta do arsenal, mas assim como ACLs e etc, tem 
aplicacao somente em casos especificos..

> 
>> Guilherme Alberto wrote:
>>> Júlio,
>>>
>>> Acredito que você não tenha entendido. A "vitima" tendo BGP, ASN 
>>> próprio e comunidades de blackhole e synchole liberadas pelas 
>>> operadoras o sistema resolve sim.
>>> No nosso caso, possuimos uma classe /10, ou seja, somos 
>> ASN, possuimos 
>>> o BGP e estas comunidades são liberadas pelas operdoras 
>> para anuncio 
>>> em /32. Detectado um ataque internacional (na maioria dos casos são 
>>> internacionais) o sistema efetua em 8 segundos anuncio blackhole em 
>>> /32, se for ataque nacional simplesmente faz o synchole no /32. Tem 
>>> outras funções de avisar o ASN do atacante, e também por exemplo se 
>>> atacar vários IPs da classe ao mesmo tempo faz bloqueio no /24 se 
>>> estiver enchendo o link.
>>>
>>> Você perguntou se a The Planet comprou a Ev1 ? Sim, isto faz tempo.
>> Entendi, o que estou dizendo, e' que o blackhole, nao resolve 
>> problemas de DDoS em que o resource sendo atacado tem que ser 
>> protegido, o que ele ajuda (e faz parta, podemos dizer, do 
>> 'kit de ferramenta' de defesa), e' 
>> a isolar parte da network, para que outras partes nao sofram 
>> dano colateral.
>> Exemplo, se e' um HTTP flood contra o servidor da Amazon, 
>> eles nao podem fazer um blackhole daquele trafego :-)...e por 
>> ai vai, outros servicos podem ter a mesma caracteristica, em 
>> que se voce fizer um blackhole (e muitas vezes, ate mesmo 
>> ACLs), voce 'completou' o DDoS contra aquele ip sob ataque..
>>
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list