[GTER] Resposta a post 2006 - Ataques de DDoS, será que existe uma solução ?
Antonio Carlos Pina
antoniocarlospina at gmail.com
Sat Sep 20 15:00:06 -03 2008
Na verdade, o que o Guilherme está apresentando é um dos tipos de ataques. E
eu vou concordar com ele que isso é um tipo bastante comum.
Evidente que se o cliente é um servidor de jogos que possui um hub
internacional, ele perde a conexão com o hub até que se retire o anúncio
feito com as comunidades para as operadoras.
Entretanto, com o crescimento dos links nacionais, eu já recebi ataques de
mais de 1Gb/s 100% nacionais. Logo, o exemplo citado pelo Guilherme é um dos
possíveis casos, mas já deixou de ser "o padrão" há algum tempo. Guilherme,
se você só recebe ataques desse tipo (internacionais com o kiddie testando
com ping do seu adsl/cable modem), ótmo para você e eu desejo sinceramente
que continue assim. Mas o padrão vem mudando e na medida que as operadoras
nacionais aumentam suas capacidades, o potencial de ataques cresce.
Fora ataques do tipo many->many (milhares de sources spoof contra todos os
seus endereços destino). Você aplicará blackhole em todos os seus endereços
?
Além do sistema da Arbor, existe o WanGuard que faz clean-pipes, mas me
parece que ele só vai até 155Mb/s (está no website) de capacidade de
tratamento, o que, na minha visão, já o invalida para qualquer uso mais
sério atualmente a não ser no lado da operadora para atender clientes até
STM-1.
Abs
2008/9/20 Julio Arruda <jarruda-gter at jarruda.com>
> Guilherme Alberto wrote:
>
>> Júlio,
>>
>> Mas se o destino do ataque esta fora (blackholed), como o hacker
>>> assumiria que o ataque foi ineficaz ? Eu ja vi ataques "rotativos", mas
>>> somente em mitigacoes inteligentes, onde um scrubber mantem o site no ar
>>> "apesar" do ataque, ai o atacante vai variando o ataque, mas com blackhole..
>>>
>>
>> Não sei como você está acostumado a utilizar certos termos, mas eu utilizo
>> da seguinte forma,
>> Blackhole - Bloqueio para trafego internacional
>> Synchole - Bloqueio para trafego nacional
>> Eu aprendi desta forma, não sei se é a correta, mas é como eu costumo
>> falar aqui com o pessoal da empresa
>>
>
> http://www.arbornetworks.com/downloads/Sinkhole_Tutorial_June03.pdf
> Acho que no NANOG, RIPE e APRICOT tem tambem bastante material..
>
> o Sinkhole e' na verdade um blackhole que vai para algum lugar :-), nao
> para Dave Null..ao menos eu gosto de dizer que, blackhole, e' um caso
> especifico do sinkhole na verdade, pois ambos funcionam exatamente da mesma
> forma.
> Blackhole por regioes, e' ainda assim, chamado de blackhole, geralmente
> associado com communities especificas por exemplo, voce anuncia 666 para
> 'tudo para o lixo', 667 para somente peers nacionais para lixo e por ai vai,
> certo ?
>
> O scrubber de que falava, usa tambem o mesmo tipo de gato, e' via um tipo
> de sinkhole (nome bonito seria "offramping") para levar o trafego ao
> scrubber. Existe a opcao de ser inline, mas eu nao sou nem um pouco
> simpatico a ideia..existem clientes que usam, mas nao na America Latina (ao
> menos nos projetos que me envolvi). Consideracoes de que voce NAO precisa
> 2-way traffic para fazer a mitigacao, e que vai estar adicionando ponto de
> falha, latencia (minima que seja), complexidade de gerencia
> (bump-in-the-wire, mas esta la :-)....
>
>
>
>> O hacker vai assumir que o ataque foi ineficaz pelo seguinte, este hacker
>> está no Brasil com um ping -t no IP atacado, ele
>> vai usar sua botnet para derrubar este destino, e a botnet possui
>> servidores vulneráveis em todos os lugares do mundo, assim
>> que lançado o ataque, o sistema vai detectar e subir anuncio BGP na
>> community de blackhole para o /32 atacado, bloqueando
>> todo o tráfego internacional e permitindo apenas o nacional, então ele vai
>> pensar, ué, meu ataque não funcionou, o IP continua pingando
>> mesmo atacando.
>> Em raríssimos casos o hacker consegue um servidor vulnerável no Brasil em
>> um Datacenter com muita banda, e desta forma realmente para
>> este hacker o ataque é eficaz, uma vez que nossa única opção é subir o
>> anúncio BGP como synchole pelo sistema, indisponibilizando totalmente o
>> acesso
>>
>
> Humm..vou discordar..
> DDoS nao e' feito somente de servidores com muito upstream, ele e' feito
> com volume de bots mesmo. Entao, alguns 10.000 de cable users sao problema
> para qualquer provedor. O que os pesquisadores que conhecem dizem, e' que
> eles geralmente segregam porcoes da botnet com mais banda para determinados
> ataques por exemplo. So que ao menos em um grande site de eCommerce, teve
> sim, zombies ai no Pindorama (e ao menos um C&C la nos hermanos :-))
>
> nacional e internacional, porém mesmo assim se o ataque for grande você
>> protege sua rede, indisponibilizando apenas o /32 atacado e não seu /24 ou
>> seu /20 todo
>>
>
> Por isto estou dizendo, o /32 (a vitima), com um blackhole, vai para o
> brejo, por isto nao e' considerado uma solucao de Clean Pipes/Protecao de
> DDoS para a vitima propriamente dita...
> Estou de pleno acordo de que em alguns casos, simplesmente cortando o dedo
> para salvar o braco faz sentido, so que se o dedo for o recurso a ser
> protegido, blackhole vai "completar" o ataque..
>
>
>> Que servidor comprometido ? a vitima do ataque ? Que atitude ele pode
>>> tomar em um caso destes ?
>>>
>>
>>
> Por isto queria entender a nomenclatura, geralmente eu vejo bot ou zombie
> sendo aplicado para descrever as 100s de maquinas comprometidas.
>
> O servidor comprometido não é a vítima do ataque e sim o servidor zoombie
>> utilizado pelo hacker para lançar o ataque.
>> A atitude que o provedor pode tomar é simplesmente tirar o cabo de rede do
>> cliente dele e mandar formatar a maquina :) e o cliente pode resolver o
>> problema fechando
>> seu /tmp ou colocando um firewall na saida
>>
>>
> Hehe...sim, walled gardens, e por ai vai, isto tudo e' parte do 'outra
> parte' do problema, um dos motivos pelo qual a Arbor comprou a Ellacoya.
> Agora, ao menos na America Latina, o que vejo MUITO mais forte, e' ainda a
> preocupacao com o lado "destino" dos ataques.
>
>
> Atenciosamente,
>>
>> Guilherme Alberto
>> www.maxihost.com.br
>> ----- Original Message ----- From: "Julio Arruda" <
>> jarruda-gter at jarruda.com>
>> To: "Grupo de Trabalho de Engenharia e Operacao de Redes" <
>> gter at eng.registro.br>
>> Sent: Friday, September 19, 2008 10:56 PM
>> Subject: Re: [GTER] Resposta a post 2006 - Ataques de DDoS, será que
>> existe uma solução ?
>>
>>
>> Guilherme Alberto wrote:
>>
>>> Júlio,
>>>
>>> Entendi sua colocação.
>>>
>>> Uma curiosidade...se o seu exemplo de blackhole 'automatico', que fica
>>>> no ar por 20 minutos, como ele sabe se o ataque se foi ?
>>>> Ele tem que 'abrir a comporta' para ver se ainda tem ataque, certo ?
>>>>
>>>
>>> Ele não sabe na verdade se o ataque se foi, precisa abrir a comporta
>>> novamente e verificar se o ataque continua
>>>
>>> Eu sei que uma dos truques de scrubber com mitigacao automatica, e'
>>>> exatamente o ponto onde voce monitora o ataque :-).
>>>> Se e' DEPOIS do scrubber, voce tem a impressao que o ataque se foi,
>>>> assim que comeca a mitigacao, e ai, se o sistema 'desabilita' a mitigacao
>>>> novamente, o ataque recomeca, e fica o sistema 'mitigando/nao-mitigando' em
>>>> ciclos :-)..
>>>>
>>>
>>> Em 80% dos casos, o ataque não continua após os 20 minutos, pois o
>>> atacante verifica que existe algum tipo de
>>> proteção automática, ou seja, tornou o ataque dele ineficaz em 8 segundos
>>> e para de atacar.
>>>
>>
>> Mas se o destino do ataque esta fora (blackholed), como o hacker
>> assumiria que o ataque foi ineficaz ? Eu ja vi ataques "rotativos", mas
>> somente em mitigacoes inteligentes, onde um scrubber mantem o site no ar
>> "apesar" do ataque, ai o atacante vai variando o ataque, mas com
>> blackhole..
>>
>> Nos outros 20%, o que tenho visto acontecer é mitigar/não mitigar por
>>> umas 4-8 vezes, depois disto o responsável pelo
>>> servidor comprometido acaba tomando uma atitude, já que o sistema fica
>>> avisando o ASN responsável de 20 em 20 minutos até o ataque cessar.
>>>
>>
>> Que servidor comprometido ? a vitima do ataque ? Que atitude ele pode
>> tomar em um caso destes ?
>>
>> Atenciosamente,
>>>
>>> Guilherme Alberto
>>> www.maxihost.com.br
>>> ----- Original Message ----- From: "Julio Arruda" <
>>> jarruda-gter at jarruda.com>
>>> To: "Grupo de Trabalho de Engenharia e Operacao de Redes" <
>>> gter at eng.registro.br>
>>> Sent: Friday, September 19, 2008 8:14 PM
>>> Subject: Re: [GTER] Resposta a post 2006 - Ataques de DDoS, será que
>>> existe uma solução ?
>>>
>>>
>>> Guilherme Alberto wrote:
>>>
>>>> Júlio,
>>>>
>>>> Vamos lá. Em relação ao HTTP flood da Amazon, certamente que um
>>>> Blackhole iria comprometer muitos usuários, ou seja, comprometer
>>>> muito tráfego legítimo, entretanto as operadoras/backbones do exterior
>>>> possuem APIs mais avançadas que nós para que o bloqueio seja feita
>>>> de outra maneira, bloqueando a origem ao invés do destino com blackhole.
>>>> Ainda mais que os backbones de fora possuem uma largura de
>>>> banda muito maior que a nossa para poder segurar este tráfego no "muque"
>>>> sem comprometer o tráfego legítimo, entretanto nossa realidade é outra; Sem
>>>> dúvidas
>>>> eles podem trabalhar com ACLs para bloquear este tráfego, porém se
>>>> fizermos isto aqui em um ataque de grande magnitude não adiantaria e a única
>>>> coisa que resolveria
>>>> seria efetivamente um blackhole.
>>>>
>>>
>>> Na verdade, existem ocasioes em que usam Blackhole, mesmo alguns
>>> clientes que conheco com n x 10G de banda. Novamente, e' ferramenta e
>>> existe para ser usada, so que faz parte de um 'toolkit', nao e' a unica
>>> :-)..
>>> Quanto ao bloqueio por origem...nao e' bem API, sao scrubbers que sao
>>> usados nos casos que conheco. E nao e' para bloqueio
>>> indiscriminadamente, vide caso do spoofing.
>>> E ACL, sinceramente, apesar de ferramenta tambem, entra em caso similar
>>> a do blackhole.
>>> (deny Http para um servidor Web == blackholear o bicho :-)..
>>>
>>> Quando voce esta 'do outro lado do link', a carrier, o seu negocio e'
>>> vender link, e link e' commodity, por isto, eles querem oferecer
>>> solucoes que 'preservem os servicos' do cliente.
>>> O blackhole ou acls/flowspec, podem ser usados por exemplo, para um
>>> cliente sem contrato de Clean Pipes, assim a carrier economiza recursos
>>> de scrubber por exemplo.
>>>
>>>
>>> Uma curiosidade...se o seu exemplo de blackhole 'automatico', que fica
>>> no ar por 20 minutos, como ele sabe se o ataque se foi ?
>>> Ele tem que 'abrir a comporta' para ver se ainda tem ataque, certo ?
>>>
>>> Eu sei que uma dos truques de scrubber com mitigacao automatica, e'
>>> exatamente o ponto onde voce monitora o ataque :-).
>>> Se e' DEPOIS do scrubber, voce tem a impressao que o ataque se foi,
>>> assim que comeca a mitigacao, e ai, se o sistema 'desabilita' a
>>> mitigacao novamente, o ataque recomeca, e fica o sistema
>>> 'mitigando/nao-mitigando' em ciclos :-)..
>>>
>>>
>>>
>>>>
>>>> Atenciosamente,
>>>>
>>>> Guilherme Alberto
>>>> www.maxihost.com.br
>>>> ----- Original Message ----- From: "Julio Arruda" <
>>>> jarruda-gter at jarruda.com>
>>>> To: "Grupo de Trabalho de Engenharia e Operacao de Redes" <
>>>> gter at eng.registro.br>
>>>> Sent: Friday, September 19, 2008 4:07 PM
>>>> Subject: Re: [GTER] Resposta a post 2006 - Ataques de DDoS, será que
>>>> existe uma solução ?
>>>>
>>>>
>>>> Guilherme Alberto wrote:
>>>>
>>>>> Júlio,
>>>>>
>>>>> Acredito que você não tenha entendido. A "vitima" tendo BGP, ASN
>>>>> próprio e comunidades de
>>>>> blackhole e synchole liberadas pelas operadoras o sistema resolve sim.
>>>>> No nosso caso, possuimos uma classe /10, ou seja,
>>>>> somos ASN, possuimos o BGP e estas comunidades são liberadas pelas
>>>>> operdoras para anuncio em /32. Detectado um ataque
>>>>> internacional (na maioria dos casos são internacionais) o sistema
>>>>> efetua em 8 segundos anuncio blackhole em /32, se for ataque nacional
>>>>> simplesmente faz o synchole no /32. Tem outras funções de avisar o ASN
>>>>> do atacante, e também por exemplo se atacar vários IPs da classe
>>>>> ao mesmo tempo faz bloqueio no /24 se estiver enchendo o link.
>>>>>
>>>>> Você perguntou se a The Planet comprou a Ev1 ? Sim, isto faz tempo.
>>>>>
>>>>
>>>> Entendi, o que estou dizendo, e' que o blackhole, nao resolve problemas
>>>> de DDoS em que o resource sendo atacado tem que ser protegido, o que ele
>>>> ajuda (e faz parta, podemos dizer, do 'kit de ferramenta' de defesa), e'
>>>> a isolar parte da network, para que outras partes nao sofram dano
>>>> colateral.
>>>> Exemplo, se e' um HTTP flood contra o servidor da Amazon, eles nao podem
>>>> fazer um blackhole daquele trafego :-)...e por ai vai, outros servicos
>>>> podem ter a mesma caracteristica, em que se voce fizer um blackhole (e
>>>> muitas vezes, ate mesmo ACLs), voce 'completou' o DDoS contra aquele ip
>>>> sob ataque..
>>>>
>>>>
>>>> ----- Original Message ----- From: "Julio Arruda" <
>>>>> jarruda-gter at jarruda.com>
>>>>> To: "Grupo de Trabalho de Engenharia e Operacao de Redes" <
>>>>> gter at eng.registro.br>
>>>>> Sent: Thursday, September 18, 2008 7:39 PM
>>>>> Subject: Re: [GTER] Resposta a post 2006 - Ataques de DDoS, será que
>>>>> existe uma solução ?
>>>>>
>>>>>
>>>>> Guilherme Alberto wrote:
>>>>>
>>>>>> Olá Pessoal,
>>>>>>
>>>>>> Sou novo na lista do GTER e gostaria de fazer meu primeiro post em
>>>>>> resposta a uma mensagem
>>>>>> que encontrei por acaso no Google referente a problemas com ataques
>>>>>> DDoS em provedores no Brasil,
>>>>>> http://eng.registro.br/pipermail/gter/2006-April/010329.html
>>>>>>
>>>>>> Nós da MaxiHost estamos utilizando já há alguns meses a solução
>>>>>> oferecida pela empresa FireSlayer (http://www.fireslayer.com.br). Nós
>>>>>> estamos bastante infiltrados na àrea de servidores de jogos, e como todos
>>>>>> devem saber, estes recebem ataques DoS/DDoS de grande magnitude diariamente.
>>>>>>
>>>>>> O FireSlayer é o modelo de sistema de proteção que a antiga Ev1
>>>>>> adotava adaptado para o Brasil, eles formataram um sistema que fica
>>>>>> compatível com as limitações que possuimos atualmente no Brasil nos
>>>>>> backbones.
>>>>>>
>>>>>> É bem interessante, consegue bloquear qualquer ataque DoS/DDoS em mais
>>>>>> ou menos 8 segundos, avisa automaticamente os responsáveis pelo ASN sobre o
>>>>>> ataque com logs sobre o evento e possui uma interface bem amigável.
>>>>>>
>>>>>> Vale a pena dar uma olhada la.
>>>>>>
>>>>>
>>>>> Pelo que entendi do ataque que e' mencionado no thread, nao resolveria.
>>>>> Nenhuma solucao "do lado da vitima" resolveria..
>>>>> Um ataque de DDoS de 155Mbps (pequeno portanto), nao tem como ser
>>>>> 'limpo' do lado da vitima que tem um E3 de banda por exemplo..
>>>>>
>>>>> disclaimer, trabalho na Arbor, que fornece DDoS gear para The Planet,
>>>>> que entendo, comprou a EV1 ?
>>>>>
>>>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list