[GTER] RES: Resposta a post 2006 - Ataques de DDoS, será que existe uma solução ?
Guilherme Alberto
guilherme at maxihost.com.br
Fri Sep 19 18:47:08 -03 2008
João,
O sistema identifica apenas o tráfego entrante, portanto mesmo que spoofed,
seria direcionado a um IP válido da rede e o destino seria bloqueado.
A solução efetua o desbloqueio em 20 minutos, de forma automática, avisando
os responsáveis pelo servidor comprometido, se após 20 minutos o ataque não
cessar, avisa novamente até resolverem.
Pelo menos para nós, tem sido uma solução eficaz, uma vez que o tráfego
internacional bloqueado não compromete a maior parte dos nossos clientes,
que possuem seus clientes no Brasil
Atenciosamente,
Guilherme Alberto
www.maxihost.com.br
----- Original Message -----
From: "Joao Victor da Costa" <victorockeiro at gmail.com>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Sent: Friday, September 19, 2008 6:00 PM
Subject: Re: [GTER]RES: Resposta a post 2006 - Ataques de DDoS, será que
existe uma solução ?
Acrescentando,
Utilizando-se ataques spoof, a ferramenta pode acabar bloqueando
aquilo que não deveria ser bloqueado.
Assim o ataque DoS seria bem sucedido uma vez que a própria "solução"
se bloquearia do resto do mundo.
2008/9/19 Julio Arruda <jarruda-gter at jarruda.com>:
> Toledo, Luis Carlos wrote:
>>
>> Exatamente Júlio, olhando por quem realiza o ataque via DDOS, quando IP
>> de
>> destino simplesmente some, isso pode ser interpletado que ele caiu e que
>> o
>> ataque foi bem sucedido, sendo a partir daí considerado vulnerável. Já o
>> IP
>> de destino resistindo ao ataque normalmente o atacante acaba desistindo e
>> indo para outro destino.
>>
>> Mais fácil adicionar uma rota baseada na origem que encaminha o trafego
>> do
>> atacante para uma máquina boba.
>
> blackhole + RPF para filtrar por origem, so tem alguns problemas:
>
> 1- Syn-flood de origem spoofed, nao resolve
> 2- Nao e' viavel manter manualmente a lista de origens se for um exercito
> de zombies
>
> Blackhole e' uma ferramenta do arsenal, mas assim como ACLs e etc, tem
> aplicacao somente em casos especificos..
>
>>
>>> Guilherme Alberto wrote:
>>>>
>>>> Júlio,
>>>>
>>>> Acredito que você não tenha entendido. A "vitima" tendo BGP, ASN
>>>> próprio
>>>> e comunidades de blackhole e synchole liberadas pelas operadoras o
>>>> sistema
>>>> resolve sim.
>>>> No nosso caso, possuimos uma classe /10, ou seja, somos
>>>
>>> ASN, possuimos
>>>>
>>>> o BGP e estas comunidades são liberadas pelas operdoras
>>>
>>> para anuncio
>>>>
>>>> em /32. Detectado um ataque internacional (na maioria dos casos são
>>>> internacionais) o sistema efetua em 8 segundos anuncio blackhole em
>>>> /32, se
>>>> for ataque nacional simplesmente faz o synchole no /32. Tem outras
>>>> funções
>>>> de avisar o ASN do atacante, e também por exemplo se atacar vários IPs
>>>> da
>>>> classe ao mesmo tempo faz bloqueio no /24 se estiver enchendo o link.
>>>>
>>>> Você perguntou se a The Planet comprou a Ev1 ? Sim, isto faz tempo.
>>>
>>> Entendi, o que estou dizendo, e' que o blackhole, nao resolve problemas
>>> de DDoS em que o resource sendo atacado tem que ser protegido, o que ele
>>> ajuda (e faz parta, podemos dizer, do 'kit de ferramenta' de defesa), e'
>>> a
>>> isolar parte da network, para que outras partes nao sofram dano
>>> colateral.
>>> Exemplo, se e' um HTTP flood contra o servidor da Amazon, eles nao podem
>>> fazer um blackhole daquele trafego :-)...e por ai vai, outros servicos
>>> podem
>>> ter a mesma caracteristica, em que se voce fizer um blackhole (e muitas
>>> vezes, ate mesmo ACLs), voce 'completou' o DDoS contra aquele ip sob
>>> ataque..
>>>
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
- - - - - - - - - - - -
- victorockeiro -
- - - - - - - - - - - -
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list