[GTER] RES: Resposta a post 2006 - Ataques de DDoS, será que existe uma solução ?

Fri Sep 19 20:01:35 -03 2008

Joao Victor da Costa wrote:
> Acrescentando,
>  Utilizando-se ataques spoof, a ferramenta pode acabar bloqueando
> aquilo que não deveria ser bloqueado.
>  Assim o ataque DoS seria bem sucedido uma vez que a própria "solução"
> se bloquearia do resto do mundo.

Bom....Nao sei nas outras solucoes, mas no que conheco um pouco mais:

1- as contra-medidas de um scrubber, quando identificam que e' trafego 
spoofed, NAO colocam em blacklist o origem.

2- geralmente, tem aging, para em caso de alguem estar 'aprovado' como 
nao spoofed, se ficar um tempo sem passar trafego, ter que passar de 
novo pelo syn-authentication, ou o dns-authentication, ou o 
*-authentication, por ai vai.

3- Voce tem como fazer um 'whitelist' na mao, exemplo, um megaproxy 
acessando o seu site, pode 'disparar' um blacklist por http get object 
rate limit por exemplo, ai voce teria que colocar este megaproxy na 
whitelist.

Mas sim, a sua 'suspeita e' valida, um scrubber tem que fazer o possivel 
para passar a maior parte do trafego nao-malicioso (excessoes seriam 
flash crowd, onde e' nao malicioso tudo..), e nao passar a menor parte 
do trafego malicioso, o quanto voce se desvia disto, e' o quanto a 
'vitima' vai sentir de impacto :-)..

#include <disclaimer.h> // Trabalho na Arbor, portanto minha opiniao e' 
suspeita..

> 2008/9/19 Julio Arruda <jarruda-gter at jarruda.com>:
>> Toledo, Luis Carlos wrote:
>>> Exatamente Júlio, olhando por quem realiza o ataque via DDOS, quando IP de
>>> destino simplesmente some, isso pode ser interpletado que ele caiu e que o
>>> ataque foi bem sucedido, sendo a partir daí considerado vulnerável. Já o
>>> IP
>>> de destino resistindo ao ataque normalmente o atacante acaba desistindo e
>>> indo para outro destino.
>>>
>>> Mais fácil adicionar uma rota baseada na origem que encaminha o trafego do
>>> atacante para uma máquina boba.
>> blackhole + RPF para filtrar por origem, so tem alguns problemas:
>>
>> 1- Syn-flood de origem spoofed, nao resolve
>> 2- Nao e' viavel manter manualmente a lista  de origens se for um exercito
>> de zombies
>>
>> Blackhole e' uma ferramenta do arsenal, mas assim como ACLs e etc, tem
>> aplicacao somente em casos especificos..
>>
>>>> Guilherme Alberto wrote:
>>>>> Júlio,
>>>>>
>>>>> Acredito que você não tenha entendido. A "vitima" tendo BGP, ASN próprio
>>>>> e comunidades de blackhole e synchole liberadas pelas operadoras o sistema
>>>>> resolve sim.
>>>>> No nosso caso, possuimos uma classe /10, ou seja, somos
>>>> ASN, possuimos
>>>>> o BGP e estas comunidades são liberadas pelas operdoras
>>>> para anuncio
>>>>> em /32. Detectado um ataque internacional (na maioria dos casos são
>>>>> internacionais) o sistema efetua em 8 segundos anuncio blackhole em /32, se
>>>>> for ataque nacional simplesmente faz o synchole no /32. Tem outras funções
>>>>> de avisar o ASN do atacante, e também por exemplo se atacar vários IPs da
>>>>> classe ao mesmo tempo faz bloqueio no /24 se estiver enchendo o link.
>>>>>
>>>>> Você perguntou se a The Planet comprou a Ev1 ? Sim, isto faz tempo.
>>>> Entendi, o que estou dizendo, e' que o blackhole, nao resolve problemas
>>>> de DDoS em que o resource sendo atacado tem que ser protegido, o que ele
>>>> ajuda (e faz parta, podemos dizer, do 'kit de ferramenta' de defesa), e' a
>>>> isolar parte da network, para que outras partes nao sofram dano colateral.
>>>> Exemplo, se e' um HTTP flood contra o servidor da Amazon, eles nao podem
>>>> fazer um blackhole daquele trafego :-)...e por ai vai, outros servicos podem
>>>> ter a mesma caracteristica, em que se voce fizer um blackhole (e muitas
>>>> vezes, ate mesmo ACLs), voce 'completou' o DDoS contra aquele ip sob
>>>> ataque..