[GTER] Ataques em Servidores
Tukso Antartiko
tukso.antartiko at gmail.com
Wed Apr 15 14:15:46 -03 2009
Com BGP, para bloquear pela origem (fora da sua rede), você consegue,
por default (sem negociação), bloquear apenas todo trânsito (sem
prefixos específicos) que passe por um dos ASs do seu AS mais próximo
(A), basta usar communities pedindo para A não anunciar um dos seus
prefixos (mínimo /24) para determinado(s) AS peer.
A maioria das operadoras que operam no Brasil implementam algo do
tipo, mesmo que a maioria o faça de forma bastante incompleta, talvez
pelo número limitado de peers destas ou da forma que configuraram esta
community (passando um parâmetro fixo pré-determinado ao invés do
ASN).
Outra alternativa é que outro AS (B), que faça peer com o AS (C) que
queira bloquear, mas não se importe com em receber este volume de
tráfego, faça um "hijack" do(s) seu(s) prefixo(s) (mínimo /24),
anunciando-o(s) apenas para C.
A vantagem é que independentemente do endereços dos pacotes serem
forjados você consegue ter uma idéia da origem.
On 4/13/09, Julio Arruda <jarruda-gter at jarruda.com> wrote:
> GIULIANO (UOL) wrote:
>> Pessoal,
>>
>> Suponto um link de 1 Gbps recebendo um trafego alto de mais de 400 Mbps
>> ... na forma de um ataque de DoS. O trafego sobe de uma so vez ... para
>> 900 Mbps ... e na media trabalha com 500 Mbps.
>>
>> Como eu poderia fazer, pra injetar um bloqueio de rota ... dos prefixos
>> de onde se originam o ataque ... via BGP ? Estamos monitorando o
>> trafego e o roteador de borda ja esta trabalhando com 89% de CPU.
>>
>> O roteador e CISCO e o cliente roda BGP com AS publico com 1 unica
>> operadora. Alguam poderia me ajudar ? Existem formas de fazer isso ?
>> Existe algum modelo de configuracao ?
>>
>
> O RTBH (remote trigered blackhole) pode ser combinado com source
> filtering, porem....lembre que o ataque pode ser spoofed :-)..
> De qualquer forma RTBH+rpf eu so vi dentro do mesmo provedor...nao
> 'entre dominios'..
>
> Imagine se vem um ataque 'spoofed', dos root servers..Delicia nao ?
>
> Mitigacao neste caso, geralmente tem que ser feito no upstream..
> De qualqeur forma..
> qual o padrao do ataque ? Se quiser mandar algo em pvt, se sinta a vontade..
>
>> Obrigado,
>>
>> Giuliano
More information about the gter
mailing list