[GTER] Resposta a post 2006 - Ataques de DDoS, será que existe uma solução ?

[Julio Arruda]

Guilherme Alberto wrote:
> Júlio,
> 
> Entendi sua colocação.
> 
>> Uma curiosidade...se o seu exemplo de blackhole 'automatico', que fica 
>> no ar por 20 minutos, como ele sabe se o ataque se foi ?
>> Ele tem que 'abrir a comporta' para ver se ainda tem ataque, certo ?
> 
> Ele não sabe na verdade se o ataque se foi, precisa abrir a comporta 
> novamente e verificar se o ataque continua
> 
>> Eu sei que uma dos truques de scrubber com mitigacao automatica, e' 
>> exatamente o ponto onde voce monitora o ataque :-).
>> Se e' DEPOIS do scrubber, voce tem a impressao que o ataque se foi, 
>> assim que comeca a mitigacao, e ai, se o sistema 'desabilita' a 
>> mitigacao novamente, o ataque recomeca, e fica o sistema 
>> 'mitigando/nao-mitigando' em ciclos :-)..
> 
> Em 80% dos casos, o ataque não continua após os 20 minutos, pois o 
> atacante verifica que existe algum tipo de
> proteção automática, ou seja, tornou o ataque dele ineficaz em 8 
> segundos e para de atacar.

Mas se o destino do ataque esta fora (blackholed), como o hacker 
assumiria que o ataque foi ineficaz ? Eu ja vi ataques "rotativos", mas 
somente em mitigacoes inteligentes, onde um scrubber mantem o site no ar 
"apesar" do ataque, ai o atacante vai variando o ataque, mas com blackhole..

> Nos outros 20%, o que tenho visto acontecer é mitigar/não mitigar por 
> umas 4-8 vezes, depois disto o responsável pelo
> servidor comprometido acaba tomando uma atitude, já que o sistema fica 
> avisando o ASN responsável de 20 em 20 minutos até o ataque cessar.

Que servidor comprometido ? a vitima do ataque ? Que atitude ele pode 
tomar em um caso destes ?

> Atenciosamente,
> 
> Guilherme Alberto
> www.maxihost.com.br
> ----- Original Message ----- From: "Julio Arruda" 
> <jarruda-gter at jarruda.com>
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes" 
> <gter at eng.registro.br>
> Sent: Friday, September 19, 2008 8:14 PM
> Subject: Re: [GTER] Resposta a post 2006 - Ataques de DDoS, será que 
> existe uma solução ?
> 
> 
> Guilherme Alberto wrote:
>> Júlio,
>>
>> Vamos lá. Em relação ao HTTP flood da Amazon, certamente que um 
>> Blackhole iria comprometer muitos usuários, ou seja, comprometer
>> muito tráfego legítimo, entretanto as operadoras/backbones do exterior 
>> possuem APIs mais avançadas que nós para que o bloqueio seja feita
>> de outra maneira, bloqueando a origem ao invés do destino com 
>> blackhole. Ainda mais que os backbones de fora possuem uma largura de
>> banda muito maior que a nossa para poder segurar este tráfego no 
>> "muque" sem comprometer o tráfego legítimo, entretanto nossa realidade 
>> é outra; Sem dúvidas
>> eles podem trabalhar com ACLs para bloquear este tráfego, porém se 
>> fizermos isto aqui em um ataque de grande magnitude não adiantaria e a 
>> única coisa que resolveria
>> seria efetivamente um blackhole.
> 
> Na verdade, existem ocasioes em que usam Blackhole, mesmo alguns
> clientes que conheco com n x 10G de banda. Novamente, e' ferramenta e
> existe para ser usada, so que faz parte de um 'toolkit', nao e' a unica
> :-)..
> Quanto ao bloqueio por origem...nao e' bem API, sao scrubbers que sao
> usados nos casos que conheco. E nao e' para bloqueio
> indiscriminadamente, vide caso do spoofing.
> E ACL, sinceramente, apesar de ferramenta tambem, entra em caso similar
> a do blackhole.
> (deny Http para um servidor Web == blackholear o bicho :-)..
> 
> Quando voce esta 'do outro lado do link', a carrier, o seu negocio e'
> vender link, e link e' commodity, por isto, eles querem oferecer
> solucoes que 'preservem os servicos' do cliente.
> O blackhole ou acls/flowspec, podem ser usados por exemplo, para um
> cliente sem contrato de Clean Pipes, assim a carrier economiza recursos
> de scrubber por exemplo.
> 
> 
> Uma curiosidade...se o seu exemplo de blackhole 'automatico', que fica
> no ar por 20 minutos, como ele sabe se o ataque se foi ?
> Ele tem que 'abrir a comporta' para ver se ainda tem ataque, certo ?
> 
> Eu sei que uma dos truques de scrubber com mitigacao automatica, e'
> exatamente o ponto onde voce monitora o ataque :-).
> Se e' DEPOIS do scrubber, voce tem a impressao que o ataque se foi,
> assim que comeca a mitigacao, e ai, se o sistema 'desabilita' a
> mitigacao novamente, o ataque recomeca, e fica o sistema
> 'mitigando/nao-mitigando' em ciclos :-)..
> 
> 
>>
>>
>> Atenciosamente,
>>
>> Guilherme Alberto
>> www.maxihost.com.br
>> ----- Original Message ----- From: "Julio Arruda" 
>> <jarruda-gter at jarruda.com>
>> To: "Grupo de Trabalho de Engenharia e Operacao de Redes" 
>> <gter at eng.registro.br>
>> Sent: Friday, September 19, 2008 4:07 PM
>> Subject: Re: [GTER] Resposta a post 2006 - Ataques de DDoS, será que 
>> existe uma solução ?
>>
>>
>> Guilherme Alberto wrote:
>>> Júlio,
>>>
>>> Acredito que você não tenha entendido. A "vitima" tendo BGP, ASN 
>>> próprio e comunidades de
>>> blackhole e synchole liberadas pelas operadoras o sistema resolve 
>>> sim. No nosso caso, possuimos uma classe /10, ou seja,
>>> somos ASN, possuimos o BGP e estas comunidades são liberadas pelas 
>>> operdoras para anuncio em /32. Detectado um ataque
>>> internacional (na maioria dos casos são internacionais) o sistema 
>>> efetua em 8 segundos anuncio blackhole em /32, se for ataque nacional
>>> simplesmente faz o synchole no /32. Tem outras funções de avisar o 
>>> ASN do atacante, e também por exemplo se atacar vários IPs da classe
>>> ao mesmo tempo faz bloqueio no /24 se estiver enchendo o link.
>>>
>>> Você perguntou se a The Planet comprou a Ev1 ? Sim, isto faz tempo.
>>
>> Entendi, o que estou dizendo, e' que o blackhole, nao resolve problemas
>> de DDoS em que o resource sendo atacado tem que ser protegido, o que ele
>> ajuda (e faz parta, podemos dizer, do 'kit de ferramenta' de defesa), e'
>> a isolar parte da network, para que outras partes nao sofram dano 
>> colateral.
>> Exemplo, se e' um HTTP flood contra o servidor da Amazon, eles nao podem
>> fazer um blackhole daquele trafego :-)...e por ai vai, outros servicos
>> podem ter a mesma caracteristica, em que se voce fizer um blackhole (e
>> muitas vezes, ate mesmo ACLs), voce 'completou' o DDoS contra aquele ip
>> sob ataque..
>>
>>
>>> ----- Original Message ----- From: "Julio Arruda" 
>>> <jarruda-gter at jarruda.com>
>>> To: "Grupo de Trabalho de Engenharia e Operacao de Redes" 
>>> <gter at eng.registro.br>
>>> Sent: Thursday, September 18, 2008 7:39 PM
>>> Subject: Re: [GTER] Resposta a post 2006 - Ataques de DDoS, será que 
>>> existe uma solução ?
>>>
>>>
>>> Guilherme Alberto wrote:
>>>> Olá Pessoal,
>>>>
>>>> Sou novo na lista do GTER e gostaria de fazer meu primeiro post em 
>>>> resposta a uma mensagem
>>>> que encontrei por acaso no Google referente a problemas com ataques 
>>>> DDoS em provedores no Brasil,
>>>> http://eng.registro.br/pipermail/gter/2006-April/010329.html
>>>>
>>>> Nós da MaxiHost estamos utilizando já há alguns meses a solução 
>>>> oferecida pela empresa FireSlayer (http://www.fireslayer.com.br). 
>>>> Nós estamos bastante infiltrados na àrea de servidores de jogos, e 
>>>> como todos devem saber, estes recebem ataques DoS/DDoS de grande 
>>>> magnitude diariamente.
>>>>
>>>> O FireSlayer é o modelo de sistema de proteção que a antiga Ev1 
>>>> adotava adaptado para o Brasil, eles formataram um sistema que fica 
>>>> compatível com as limitações que possuimos atualmente no Brasil nos 
>>>> backbones.
>>>>
>>>> É bem interessante, consegue bloquear qualquer ataque DoS/DDoS em 
>>>> mais ou menos 8 segundos, avisa automaticamente os responsáveis pelo 
>>>> ASN sobre o ataque com logs sobre o evento e possui uma interface 
>>>> bem amigável.
>>>>
>>>> Vale a pena dar uma olhada la.
>>>
>>> Pelo que entendi do ataque que e' mencionado no thread, nao resolveria.
>>> Nenhuma solucao "do lado da vitima" resolveria..
>>> Um ataque de DDoS de 155Mbps (pequeno portanto), nao tem como ser
>>> 'limpo' do lado da vitima que tem um E3 de banda por exemplo..
>>>
>>> disclaimer, trabalho na Arbor, que fornece DDoS gear para The Planet,
>>> que entendo, comprou a EV1 ?