[GTER] Resposta a post 2006 - Ataques de DDoS, será que existe uma solução ?
Julio Arruda
jarruda-gter at jarruda.com
Fri Sep 19 20:14:42 -03 2008
Guilherme Alberto wrote:
> Júlio,
>
> Vamos lá. Em relação ao HTTP flood da Amazon, certamente que um
> Blackhole iria comprometer muitos usuários, ou seja, comprometer
> muito tráfego legítimo, entretanto as operadoras/backbones do exterior
> possuem APIs mais avançadas que nós para que o bloqueio seja feita
> de outra maneira, bloqueando a origem ao invés do destino com blackhole.
> Ainda mais que os backbones de fora possuem uma largura de
> banda muito maior que a nossa para poder segurar este tráfego no "muque"
> sem comprometer o tráfego legítimo, entretanto nossa realidade é outra;
> Sem dúvidas
> eles podem trabalhar com ACLs para bloquear este tráfego, porém se
> fizermos isto aqui em um ataque de grande magnitude não adiantaria e a
> única coisa que resolveria
> seria efetivamente um blackhole.
Na verdade, existem ocasioes em que usam Blackhole, mesmo alguns
clientes que conheco com n x 10G de banda. Novamente, e' ferramenta e
existe para ser usada, so que faz parte de um 'toolkit', nao e' a unica
:-)..
Quanto ao bloqueio por origem...nao e' bem API, sao scrubbers que sao
usados nos casos que conheco. E nao e' para bloqueio
indiscriminadamente, vide caso do spoofing.
E ACL, sinceramente, apesar de ferramenta tambem, entra em caso similar
a do blackhole.
(deny Http para um servidor Web == blackholear o bicho :-)..
Quando voce esta 'do outro lado do link', a carrier, o seu negocio e'
vender link, e link e' commodity, por isto, eles querem oferecer
solucoes que 'preservem os servicos' do cliente.
O blackhole ou acls/flowspec, podem ser usados por exemplo, para um
cliente sem contrato de Clean Pipes, assim a carrier economiza recursos
de scrubber por exemplo.
Uma curiosidade...se o seu exemplo de blackhole 'automatico', que fica
no ar por 20 minutos, como ele sabe se o ataque se foi ?
Ele tem que 'abrir a comporta' para ver se ainda tem ataque, certo ?
Eu sei que uma dos truques de scrubber com mitigacao automatica, e'
exatamente o ponto onde voce monitora o ataque :-).
Se e' DEPOIS do scrubber, voce tem a impressao que o ataque se foi,
assim que comeca a mitigacao, e ai, se o sistema 'desabilita' a
mitigacao novamente, o ataque recomeca, e fica o sistema
'mitigando/nao-mitigando' em ciclos :-)..
>
>
> Atenciosamente,
>
> Guilherme Alberto
> www.maxihost.com.br
> ----- Original Message ----- From: "Julio Arruda"
> <jarruda-gter at jarruda.com>
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Sent: Friday, September 19, 2008 4:07 PM
> Subject: Re: [GTER] Resposta a post 2006 - Ataques de DDoS, será que
> existe uma solução ?
>
>
> Guilherme Alberto wrote:
>> Júlio,
>>
>> Acredito que você não tenha entendido. A "vitima" tendo BGP, ASN
>> próprio e comunidades de
>> blackhole e synchole liberadas pelas operadoras o sistema resolve sim.
>> No nosso caso, possuimos uma classe /10, ou seja,
>> somos ASN, possuimos o BGP e estas comunidades são liberadas pelas
>> operdoras para anuncio em /32. Detectado um ataque
>> internacional (na maioria dos casos são internacionais) o sistema
>> efetua em 8 segundos anuncio blackhole em /32, se for ataque nacional
>> simplesmente faz o synchole no /32. Tem outras funções de avisar o ASN
>> do atacante, e também por exemplo se atacar vários IPs da classe
>> ao mesmo tempo faz bloqueio no /24 se estiver enchendo o link.
>>
>> Você perguntou se a The Planet comprou a Ev1 ? Sim, isto faz tempo.
>
> Entendi, o que estou dizendo, e' que o blackhole, nao resolve problemas
> de DDoS em que o resource sendo atacado tem que ser protegido, o que ele
> ajuda (e faz parta, podemos dizer, do 'kit de ferramenta' de defesa), e'
> a isolar parte da network, para que outras partes nao sofram dano
> colateral.
> Exemplo, se e' um HTTP flood contra o servidor da Amazon, eles nao podem
> fazer um blackhole daquele trafego :-)...e por ai vai, outros servicos
> podem ter a mesma caracteristica, em que se voce fizer um blackhole (e
> muitas vezes, ate mesmo ACLs), voce 'completou' o DDoS contra aquele ip
> sob ataque..
>
>
>> ----- Original Message ----- From: "Julio Arruda"
>> <jarruda-gter at jarruda.com>
>> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
>> <gter at eng.registro.br>
>> Sent: Thursday, September 18, 2008 7:39 PM
>> Subject: Re: [GTER] Resposta a post 2006 - Ataques de DDoS, será que
>> existe uma solução ?
>>
>>
>> Guilherme Alberto wrote:
>>> Olá Pessoal,
>>>
>>> Sou novo na lista do GTER e gostaria de fazer meu primeiro post em
>>> resposta a uma mensagem
>>> que encontrei por acaso no Google referente a problemas com ataques
>>> DDoS em provedores no Brasil,
>>> http://eng.registro.br/pipermail/gter/2006-April/010329.html
>>>
>>> Nós da MaxiHost estamos utilizando já há alguns meses a solução
>>> oferecida pela empresa FireSlayer (http://www.fireslayer.com.br). Nós
>>> estamos bastante infiltrados na àrea de servidores de jogos, e como
>>> todos devem saber, estes recebem ataques DoS/DDoS de grande magnitude
>>> diariamente.
>>>
>>> O FireSlayer é o modelo de sistema de proteção que a antiga Ev1
>>> adotava adaptado para o Brasil, eles formataram um sistema que fica
>>> compatível com as limitações que possuimos atualmente no Brasil nos
>>> backbones.
>>>
>>> É bem interessante, consegue bloquear qualquer ataque DoS/DDoS em
>>> mais ou menos 8 segundos, avisa automaticamente os responsáveis pelo
>>> ASN sobre o ataque com logs sobre o evento e possui uma interface bem
>>> amigável.
>>>
>>> Vale a pena dar uma olhada la.
>>
>> Pelo que entendi do ataque que e' mencionado no thread, nao resolveria.
>> Nenhuma solucao "do lado da vitima" resolveria..
>> Um ataque de DDoS de 155Mbps (pequeno portanto), nao tem como ser
>> 'limpo' do lado da vitima que tem um E3 de banda por exemplo..
>>
>> disclaimer, trabalho na Arbor, que fornece DDoS gear para The Planet,
>> que entendo, comprou a EV1 ?
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list