[GTER] Resposta a post 2006 - Ataques de DDoS, será que existe uma solução ?

Julio Arruda jarruda-gter at jarruda.com
Sat Sep 20 11:17:18 -03 2008


Guilherme Alberto wrote:
> Júlio,
> 
>> Mas se o destino do ataque esta fora (blackholed), como o hacker 
>> assumiria que o ataque foi ineficaz ? Eu ja vi ataques "rotativos", 
>> mas somente em mitigacoes inteligentes, onde um scrubber mantem o site 
>> no ar "apesar" do ataque, ai o atacante vai variando o ataque, mas com 
>> blackhole..
> 
> Não sei como você está acostumado a utilizar certos termos, mas eu 
> utilizo da seguinte forma,
> Blackhole - Bloqueio para trafego internacional
> Synchole - Bloqueio para trafego nacional
> Eu aprendi desta forma, não sei se é a correta, mas é como eu costumo 
> falar aqui com o pessoal da empresa

http://www.arbornetworks.com/downloads/Sinkhole_Tutorial_June03.pdf
Acho que no NANOG, RIPE e APRICOT tem tambem bastante material..

o Sinkhole e' na verdade um blackhole que vai para algum lugar :-), nao 
para Dave Null..ao menos eu gosto de dizer que, blackhole, e' um caso 
especifico do sinkhole na verdade, pois ambos funcionam exatamente da 
mesma forma.
Blackhole por regioes, e' ainda assim, chamado de blackhole, geralmente 
associado com communities especificas por exemplo, voce anuncia 666 para 
'tudo para o lixo', 667 para somente peers nacionais para lixo e por ai 
vai, certo ?

O scrubber de que falava, usa tambem o mesmo tipo de gato, e' via um 
tipo de sinkhole (nome bonito seria "offramping") para levar o trafego 
ao scrubber. Existe a opcao de ser inline, mas eu nao sou nem um pouco 
simpatico a ideia..existem clientes que usam, mas nao na America Latina 
(ao menos nos projetos que me envolvi). Consideracoes de que voce NAO 
precisa 2-way traffic para fazer a mitigacao, e que vai estar 
adicionando ponto de falha, latencia (minima que seja), complexidade de 
gerencia (bump-in-the-wire, mas esta la :-)....


> 
> O hacker vai assumir que o ataque foi ineficaz pelo seguinte, este 
> hacker está no Brasil com um ping -t no IP atacado, ele
> vai usar sua botnet para derrubar este destino, e a botnet possui 
> servidores vulneráveis em todos os lugares do mundo, assim
> que lançado o ataque, o sistema vai detectar e subir anuncio BGP na 
> community de blackhole para o /32 atacado, bloqueando
> todo o tráfego internacional e permitindo apenas o nacional, então ele 
> vai pensar, ué, meu ataque não funcionou, o IP continua pingando
> mesmo atacando.
> Em raríssimos casos o hacker consegue um servidor vulnerável no Brasil 
> em um Datacenter com muita banda, e desta forma realmente para
> este hacker o ataque é eficaz, uma vez que nossa única opção é subir o 
> anúncio BGP como synchole pelo sistema, indisponibilizando totalmente o 
> acesso

Humm..vou discordar..
DDoS nao e' feito somente de servidores com muito upstream, ele e' feito 
com volume de bots mesmo. Entao, alguns 10.000 de cable users sao 
problema para qualquer provedor. O que os pesquisadores que conhecem 
dizem, e' que eles geralmente segregam porcoes da botnet com mais banda 
para determinados ataques por exemplo. So que ao menos em um grande site 
de eCommerce, teve sim, zombies ai no Pindorama (e ao menos um C&C la 
nos hermanos :-))

> nacional e internacional, porém mesmo assim se o ataque for grande você 
> protege sua rede, indisponibilizando apenas o /32 atacado e não seu /24 
> ou seu /20 todo

Por isto estou dizendo, o /32 (a vitima), com um blackhole, vai para o 
brejo, por isto nao e' considerado uma solucao de Clean Pipes/Protecao 
de DDoS para a vitima propriamente dita...
Estou de pleno acordo de que em alguns casos, simplesmente cortando o 
dedo para salvar o braco faz sentido, so que se o dedo for o recurso a 
ser protegido, blackhole vai "completar" o ataque..

> 
>> Que servidor comprometido ? a vitima do ataque ? Que atitude ele pode 
>> tomar em um caso destes ?
> 

Por isto queria entender a nomenclatura, geralmente eu vejo bot ou 
zombie sendo aplicado para descrever as 100s de maquinas comprometidas.

> O servidor comprometido não é a vítima do ataque e sim o servidor 
> zoombie utilizado pelo hacker para lançar o ataque.
> A atitude que o provedor pode tomar é simplesmente tirar o cabo de rede 
> do cliente dele e mandar formatar a maquina :) e o cliente pode resolver 
> o problema fechando
> seu /tmp ou colocando um firewall na saida
> 

Hehe...sim, walled gardens, e por ai vai, isto tudo e' parte do 'outra 
parte' do problema, um dos motivos pelo qual a Arbor comprou a Ellacoya.
Agora, ao menos na America Latina, o que vejo MUITO mais forte, e' ainda 
a preocupacao com o lado "destino" dos ataques.

> Atenciosamente,
> 
> Guilherme Alberto
> www.maxihost.com.br
> ----- Original Message ----- From: "Julio Arruda" 
> <jarruda-gter at jarruda.com>
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes" 
> <gter at eng.registro.br>
> Sent: Friday, September 19, 2008 10:56 PM
> Subject: Re: [GTER] Resposta a post 2006 - Ataques de DDoS, será que 
> existe uma solução ?
> 
> 
> Guilherme Alberto wrote:
>> Júlio,
>>
>> Entendi sua colocação.
>>
>>> Uma curiosidade...se o seu exemplo de blackhole 'automatico', que 
>>> fica no ar por 20 minutos, como ele sabe se o ataque se foi ?
>>> Ele tem que 'abrir a comporta' para ver se ainda tem ataque, certo ?
>>
>> Ele não sabe na verdade se o ataque se foi, precisa abrir a comporta 
>> novamente e verificar se o ataque continua
>>
>>> Eu sei que uma dos truques de scrubber com mitigacao automatica, e' 
>>> exatamente o ponto onde voce monitora o ataque :-).
>>> Se e' DEPOIS do scrubber, voce tem a impressao que o ataque se foi, 
>>> assim que comeca a mitigacao, e ai, se o sistema 'desabilita' a 
>>> mitigacao novamente, o ataque recomeca, e fica o sistema 
>>> 'mitigando/nao-mitigando' em ciclos :-)..
>>
>> Em 80% dos casos, o ataque não continua após os 20 minutos, pois o 
>> atacante verifica que existe algum tipo de
>> proteção automática, ou seja, tornou o ataque dele ineficaz em 8 
>> segundos e para de atacar.
> 
> Mas se o destino do ataque esta fora (blackholed), como o hacker
> assumiria que o ataque foi ineficaz ? Eu ja vi ataques "rotativos", mas
> somente em mitigacoes inteligentes, onde um scrubber mantem o site no ar
> "apesar" do ataque, ai o atacante vai variando o ataque, mas com 
> blackhole..
> 
>> Nos outros 20%, o que tenho visto acontecer é mitigar/não mitigar por 
>> umas 4-8 vezes, depois disto o responsável pelo
>> servidor comprometido acaba tomando uma atitude, já que o sistema fica 
>> avisando o ASN responsável de 20 em 20 minutos até o ataque cessar.
> 
> Que servidor comprometido ? a vitima do ataque ? Que atitude ele pode
> tomar em um caso destes ?
> 
>> Atenciosamente,
>>
>> Guilherme Alberto
>> www.maxihost.com.br
>> ----- Original Message ----- From: "Julio Arruda" 
>> <jarruda-gter at jarruda.com>
>> To: "Grupo de Trabalho de Engenharia e Operacao de Redes" 
>> <gter at eng.registro.br>
>> Sent: Friday, September 19, 2008 8:14 PM
>> Subject: Re: [GTER] Resposta a post 2006 - Ataques de DDoS, será que 
>> existe uma solução ?
>>
>>
>> Guilherme Alberto wrote:
>>> Júlio,
>>>
>>> Vamos lá. Em relação ao HTTP flood da Amazon, certamente que um 
>>> Blackhole iria comprometer muitos usuários, ou seja, comprometer
>>> muito tráfego legítimo, entretanto as operadoras/backbones do 
>>> exterior possuem APIs mais avançadas que nós para que o bloqueio seja 
>>> feita
>>> de outra maneira, bloqueando a origem ao invés do destino com 
>>> blackhole. Ainda mais que os backbones de fora possuem uma largura de
>>> banda muito maior que a nossa para poder segurar este tráfego no 
>>> "muque" sem comprometer o tráfego legítimo, entretanto nossa 
>>> realidade é outra; Sem dúvidas
>>> eles podem trabalhar com ACLs para bloquear este tráfego, porém se 
>>> fizermos isto aqui em um ataque de grande magnitude não adiantaria e 
>>> a única coisa que resolveria
>>> seria efetivamente um blackhole.
>>
>> Na verdade, existem ocasioes em que usam Blackhole, mesmo alguns
>> clientes que conheco com n x 10G de banda. Novamente, e' ferramenta e
>> existe para ser usada, so que faz parte de um 'toolkit', nao e' a unica
>> :-)..
>> Quanto ao bloqueio por origem...nao e' bem API, sao scrubbers que sao
>> usados nos casos que conheco. E nao e' para bloqueio
>> indiscriminadamente, vide caso do spoofing.
>> E ACL, sinceramente, apesar de ferramenta tambem, entra em caso similar
>> a do blackhole.
>> (deny Http para um servidor Web == blackholear o bicho :-)..
>>
>> Quando voce esta 'do outro lado do link', a carrier, o seu negocio e'
>> vender link, e link e' commodity, por isto, eles querem oferecer
>> solucoes que 'preservem os servicos' do cliente.
>> O blackhole ou acls/flowspec, podem ser usados por exemplo, para um
>> cliente sem contrato de Clean Pipes, assim a carrier economiza recursos
>> de scrubber por exemplo.
>>
>>
>> Uma curiosidade...se o seu exemplo de blackhole 'automatico', que fica
>> no ar por 20 minutos, como ele sabe se o ataque se foi ?
>> Ele tem que 'abrir a comporta' para ver se ainda tem ataque, certo ?
>>
>> Eu sei que uma dos truques de scrubber com mitigacao automatica, e'
>> exatamente o ponto onde voce monitora o ataque :-).
>> Se e' DEPOIS do scrubber, voce tem a impressao que o ataque se foi,
>> assim que comeca a mitigacao, e ai, se o sistema 'desabilita' a
>> mitigacao novamente, o ataque recomeca, e fica o sistema
>> 'mitigando/nao-mitigando' em ciclos :-)..
>>
>>
>>>
>>>
>>> Atenciosamente,
>>>
>>> Guilherme Alberto
>>> www.maxihost.com.br
>>> ----- Original Message ----- From: "Julio Arruda" 
>>> <jarruda-gter at jarruda.com>
>>> To: "Grupo de Trabalho de Engenharia e Operacao de Redes" 
>>> <gter at eng.registro.br>
>>> Sent: Friday, September 19, 2008 4:07 PM
>>> Subject: Re: [GTER] Resposta a post 2006 - Ataques de DDoS, será que 
>>> existe uma solução ?
>>>
>>>
>>> Guilherme Alberto wrote:
>>>> Júlio,
>>>>
>>>> Acredito que você não tenha entendido. A "vitima" tendo BGP, ASN 
>>>> próprio e comunidades de
>>>> blackhole e synchole liberadas pelas operadoras o sistema resolve 
>>>> sim. No nosso caso, possuimos uma classe /10, ou seja,
>>>> somos ASN, possuimos o BGP e estas comunidades são liberadas pelas 
>>>> operdoras para anuncio em /32. Detectado um ataque
>>>> internacional (na maioria dos casos são internacionais) o sistema 
>>>> efetua em 8 segundos anuncio blackhole em /32, se for ataque nacional
>>>> simplesmente faz o synchole no /32. Tem outras funções de avisar o 
>>>> ASN do atacante, e também por exemplo se atacar vários IPs da classe
>>>> ao mesmo tempo faz bloqueio no /24 se estiver enchendo o link.
>>>>
>>>> Você perguntou se a The Planet comprou a Ev1 ? Sim, isto faz tempo.
>>>
>>> Entendi, o que estou dizendo, e' que o blackhole, nao resolve problemas
>>> de DDoS em que o resource sendo atacado tem que ser protegido, o que ele
>>> ajuda (e faz parta, podemos dizer, do 'kit de ferramenta' de defesa), e'
>>> a isolar parte da network, para que outras partes nao sofram dano 
>>> colateral.
>>> Exemplo, se e' um HTTP flood contra o servidor da Amazon, eles nao podem
>>> fazer um blackhole daquele trafego :-)...e por ai vai, outros servicos
>>> podem ter a mesma caracteristica, em que se voce fizer um blackhole (e
>>> muitas vezes, ate mesmo ACLs), voce 'completou' o DDoS contra aquele ip
>>> sob ataque..
>>>
>>>
>>>> ----- Original Message ----- From: "Julio Arruda" 
>>>> <jarruda-gter at jarruda.com>
>>>> To: "Grupo de Trabalho de Engenharia e Operacao de Redes" 
>>>> <gter at eng.registro.br>
>>>> Sent: Thursday, September 18, 2008 7:39 PM
>>>> Subject: Re: [GTER] Resposta a post 2006 - Ataques de DDoS, será que 
>>>> existe uma solução ?
>>>>
>>>>
>>>> Guilherme Alberto wrote:
>>>>> Olá Pessoal,
>>>>>
>>>>> Sou novo na lista do GTER e gostaria de fazer meu primeiro post em 
>>>>> resposta a uma mensagem
>>>>> que encontrei por acaso no Google referente a problemas com ataques 
>>>>> DDoS em provedores no Brasil,
>>>>> http://eng.registro.br/pipermail/gter/2006-April/010329.html
>>>>>
>>>>> Nós da MaxiHost estamos utilizando já há alguns meses a solução 
>>>>> oferecida pela empresa FireSlayer (http://www.fireslayer.com.br). 
>>>>> Nós estamos bastante infiltrados na àrea de servidores de jogos, e 
>>>>> como todos devem saber, estes recebem ataques DoS/DDoS de grande 
>>>>> magnitude diariamente.
>>>>>
>>>>> O FireSlayer é o modelo de sistema de proteção que a antiga Ev1 
>>>>> adotava adaptado para o Brasil, eles formataram um sistema que fica 
>>>>> compatível com as limitações que possuimos atualmente no Brasil nos 
>>>>> backbones.
>>>>>
>>>>> É bem interessante, consegue bloquear qualquer ataque DoS/DDoS em 
>>>>> mais ou menos 8 segundos, avisa automaticamente os responsáveis 
>>>>> pelo ASN sobre o ataque com logs sobre o evento e possui uma 
>>>>> interface bem amigável.
>>>>>
>>>>> Vale a pena dar uma olhada la.
>>>>
>>>> Pelo que entendi do ataque que e' mencionado no thread, nao resolveria.
>>>> Nenhuma solucao "do lado da vitima" resolveria..
>>>> Um ataque de DDoS de 155Mbps (pequeno portanto), nao tem como ser
>>>> 'limpo' do lado da vitima que tem um E3 de banda por exemplo..
>>>>
>>>> disclaimer, trabalho na Arbor, que fornece DDoS gear para The Planet,
>>>> que entendo, comprou a EV1 ?
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list