[GTER] RES: Resposta a post 2006 - Ataques de DDoS, será que existe uma solução ?
Julio Arruda
jarruda-gter at jarruda.com
Fri Sep 19 17:19:05 -03 2008
Toledo, Luis Carlos wrote:
> Exatamente Júlio, olhando por quem realiza o ataque via DDOS, quando IP de
> destino simplesmente some, isso pode ser interpletado que ele caiu e que o
> ataque foi bem sucedido, sendo a partir daí considerado vulnerável. Já o IP
> de destino resistindo ao ataque normalmente o atacante acaba desistindo e
> indo para outro destino.
>
> Mais fácil adicionar uma rota baseada na origem que encaminha o trafego do
> atacante para uma máquina boba.
blackhole + RPF para filtrar por origem, so tem alguns problemas:
1- Syn-flood de origem spoofed, nao resolve
2- Nao e' viavel manter manualmente a lista de origens se for um
exercito de zombies
Blackhole e' uma ferramenta do arsenal, mas assim como ACLs e etc, tem
aplicacao somente em casos especificos..
>
>> Guilherme Alberto wrote:
>>> Júlio,
>>>
>>> Acredito que você não tenha entendido. A "vitima" tendo BGP, ASN
>>> próprio e comunidades de blackhole e synchole liberadas pelas
>>> operadoras o sistema resolve sim.
>>> No nosso caso, possuimos uma classe /10, ou seja, somos
>> ASN, possuimos
>>> o BGP e estas comunidades são liberadas pelas operdoras
>> para anuncio
>>> em /32. Detectado um ataque internacional (na maioria dos casos são
>>> internacionais) o sistema efetua em 8 segundos anuncio blackhole em
>>> /32, se for ataque nacional simplesmente faz o synchole no /32. Tem
>>> outras funções de avisar o ASN do atacante, e também por exemplo se
>>> atacar vários IPs da classe ao mesmo tempo faz bloqueio no /24 se
>>> estiver enchendo o link.
>>>
>>> Você perguntou se a The Planet comprou a Ev1 ? Sim, isto faz tempo.
>> Entendi, o que estou dizendo, e' que o blackhole, nao resolve
>> problemas de DDoS em que o resource sendo atacado tem que ser
>> protegido, o que ele ajuda (e faz parta, podemos dizer, do
>> 'kit de ferramenta' de defesa), e'
>> a isolar parte da network, para que outras partes nao sofram
>> dano colateral.
>> Exemplo, se e' um HTTP flood contra o servidor da Amazon,
>> eles nao podem fazer um blackhole daquele trafego :-)...e por
>> ai vai, outros servicos podem ter a mesma caracteristica, em
>> que se voce fizer um blackhole (e muitas vezes, ate mesmo
>> ACLs), voce 'completou' o DDoS contra aquele ip sob ataque..
>>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list