[GTER] RES: Resposta a post 2006 - Ataques de DDoS, será que existe uma solução ?

Joao Victor da Costa victorockeiro at gmail.com
Fri Sep 19 18:00:54 -03 2008


Acrescentando,
 Utilizando-se ataques spoof, a ferramenta pode acabar bloqueando
aquilo que não deveria ser bloqueado.
 Assim o ataque DoS seria bem sucedido uma vez que a própria "solução"
se bloquearia do resto do mundo.

2008/9/19 Julio Arruda <jarruda-gter at jarruda.com>:
> Toledo, Luis Carlos wrote:
>>
>> Exatamente Júlio, olhando por quem realiza o ataque via DDOS, quando IP de
>> destino simplesmente some, isso pode ser interpletado que ele caiu e que o
>> ataque foi bem sucedido, sendo a partir daí considerado vulnerável. Já o
>> IP
>> de destino resistindo ao ataque normalmente o atacante acaba desistindo e
>> indo para outro destino.
>>
>> Mais fácil adicionar uma rota baseada na origem que encaminha o trafego do
>> atacante para uma máquina boba.
>
> blackhole + RPF para filtrar por origem, so tem alguns problemas:
>
> 1- Syn-flood de origem spoofed, nao resolve
> 2- Nao e' viavel manter manualmente a lista  de origens se for um exercito
> de zombies
>
> Blackhole e' uma ferramenta do arsenal, mas assim como ACLs e etc, tem
> aplicacao somente em casos especificos..
>
>>
>>> Guilherme Alberto wrote:
>>>>
>>>> Júlio,
>>>>
>>>> Acredito que você não tenha entendido. A "vitima" tendo BGP, ASN próprio
>>>> e comunidades de blackhole e synchole liberadas pelas operadoras o sistema
>>>> resolve sim.
>>>> No nosso caso, possuimos uma classe /10, ou seja, somos
>>>
>>> ASN, possuimos
>>>>
>>>> o BGP e estas comunidades são liberadas pelas operdoras
>>>
>>> para anuncio
>>>>
>>>> em /32. Detectado um ataque internacional (na maioria dos casos são
>>>> internacionais) o sistema efetua em 8 segundos anuncio blackhole em /32, se
>>>> for ataque nacional simplesmente faz o synchole no /32. Tem outras funções
>>>> de avisar o ASN do atacante, e também por exemplo se atacar vários IPs da
>>>> classe ao mesmo tempo faz bloqueio no /24 se estiver enchendo o link.
>>>>
>>>> Você perguntou se a The Planet comprou a Ev1 ? Sim, isto faz tempo.
>>>
>>> Entendi, o que estou dizendo, e' que o blackhole, nao resolve problemas
>>> de DDoS em que o resource sendo atacado tem que ser protegido, o que ele
>>> ajuda (e faz parta, podemos dizer, do 'kit de ferramenta' de defesa), e' a
>>> isolar parte da network, para que outras partes nao sofram dano colateral.
>>> Exemplo, se e' um HTTP flood contra o servidor da Amazon, eles nao podem
>>> fazer um blackhole daquele trafego :-)...e por ai vai, outros servicos podem
>>> ter a mesma caracteristica, em que se voce fizer um blackhole (e muitas
>>> vezes, ate mesmo ACLs), voce 'completou' o DDoS contra aquele ip sob
>>> ataque..
>>>
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
- - - - - - - - - - - -
- victorockeiro -
- - - - - - - - - - - -



More information about the gter mailing list