[GTER] Resposta a post 2006 - Ataques de DDoS, será que existe uma solução ?

Guilherme Alberto guilherme at maxihost.com.br
Fri Sep 19 18:42:18 -03 2008 

Júlio,

Vamos lá. Em relação ao HTTP flood da Amazon, certamente que um Blackhole 
iria comprometer muitos usuários, ou seja, comprometer
muito tráfego legítimo, entretanto as operadoras/backbones do exterior 
possuem APIs mais avançadas que nós para que o bloqueio seja feita
de outra maneira, bloqueando a origem ao invés do destino com blackhole. 
Ainda mais que os backbones de fora possuem uma largura de
banda muito maior que a nossa para poder segurar este tráfego no "muque" sem 
comprometer o tráfego legítimo, entretanto nossa realidade é outra; Sem 
dúvidas
eles podem trabalhar com ACLs para bloquear este tráfego, porém se fizermos 
isto aqui em um ataque de grande magnitude não adiantaria e a única coisa 
que resolveria
seria efetivamente um blackhole.


Atenciosamente,

Guilherme Alberto
www.maxihost.com.br
----- Original Message ----- 
From: "Julio Arruda" <jarruda-gter at jarruda.com>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes" 
<gter at eng.registro.br>
Sent: Friday, September 19, 2008 4:07 PM
Subject: Re: [GTER] Resposta a post 2006 - Ataques de DDoS, será que existe 
uma solução ?


Guilherme Alberto wrote:
> Júlio,
>
> Acredito que você não tenha entendido. A "vitima" tendo BGP, ASN próprio e 
> comunidades de
> blackhole e synchole liberadas pelas operadoras o sistema resolve sim. No 
> nosso caso, possuimos uma classe /10, ou seja,
> somos ASN, possuimos o BGP e estas comunidades são liberadas pelas 
> operdoras para anuncio em /32. Detectado um ataque
> internacional (na maioria dos casos são internacionais) o sistema efetua 
> em 8 segundos anuncio blackhole em /32, se for ataque nacional
> simplesmente faz o synchole no /32. Tem outras funções de avisar o ASN do 
> atacante, e também por exemplo se atacar vários IPs da classe
> ao mesmo tempo faz bloqueio no /24 se estiver enchendo o link.
>
> Você perguntou se a The Planet comprou a Ev1 ? Sim, isto faz tempo.

Entendi, o que estou dizendo, e' que o blackhole, nao resolve problemas
de DDoS em que o resource sendo atacado tem que ser protegido, o que ele
ajuda (e faz parta, podemos dizer, do 'kit de ferramenta' de defesa), e'
a isolar parte da network, para que outras partes nao sofram dano colateral.
Exemplo, se e' um HTTP flood contra o servidor da Amazon, eles nao podem
fazer um blackhole daquele trafego :-)...e por ai vai, outros servicos
podem ter a mesma caracteristica, em que se voce fizer um blackhole (e
muitas vezes, ate mesmo ACLs), voce 'completou' o DDoS contra aquele ip
sob ataque..


> ----- Original Message ----- From: "Julio Arruda" 
> <jarruda-gter at jarruda.com>
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes" 
> <gter at eng.registro.br>
> Sent: Thursday, September 18, 2008 7:39 PM
> Subject: Re: [GTER] Resposta a post 2006 - Ataques de DDoS, será que 
> existe uma solução ?
>
>
> Guilherme Alberto wrote:
>> Olá Pessoal,
>>
>> Sou novo na lista do GTER e gostaria de fazer meu primeiro post em 
>> resposta a uma mensagem
>> que encontrei por acaso no Google referente a problemas com ataques DDoS 
>> em provedores no Brasil,
>> http://eng.registro.br/pipermail/gter/2006-April/010329.html
>>
>> Nós da MaxiHost estamos utilizando já há alguns meses a solução oferecida 
>> pela empresa FireSlayer (http://www.fireslayer.com.br). Nós estamos 
>> bastante infiltrados na àrea de servidores de jogos, e como todos devem 
>> saber, estes recebem ataques DoS/DDoS de grande magnitude diariamente.
>>
>> O FireSlayer é o modelo de sistema de proteção que a antiga Ev1 adotava 
>> adaptado para o Brasil, eles formataram um sistema que fica compatível 
>> com as limitações que possuimos atualmente no Brasil nos backbones.
>>
>> É bem interessante, consegue bloquear qualquer ataque DoS/DDoS em mais ou 
>> menos 8 segundos, avisa automaticamente os responsáveis pelo ASN sobre o 
>> ataque com logs sobre o evento e possui uma interface bem amigável.
>>
>> Vale a pena dar uma olhada la.
>
> Pelo que entendi do ataque que e' mencionado no thread, nao resolveria.
> Nenhuma solucao "do lado da vitima" resolveria..
> Um ataque de DDoS de 155Mbps (pequeno portanto), nao tem como ser
> 'limpo' do lado da vitima que tem um E3 de banda por exemplo..
>
> disclaimer, trabalho na Arbor, que fornece DDoS gear para The Planet,
> que entendo, comprou a EV1 ?
>
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter

--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list