[GTER] Ataques em Servidores

[Diogo Montagner]

Ver inline ....

Abs

./diogo -montagner



2009/4/15 Tukso Antartiko <tukso.antartiko at gmail.com>:
> Com BGP, para bloquear pela origem (fora da sua rede), você consegue,
> por default (sem negociação), bloquear apenas todo trânsito (sem
> prefixos específicos) que passe por um dos ASs do seu AS mais próximo
> (A), basta usar communities pedindo para A não anunciar um dos seus
> prefixos (mínimo /24) para determinado(s) AS peer.
>

Sim. É possível. Mas é extremamente trabalhoso e tu gasta um certo
tempo até conseguir fazer todas as marcações necessárias e analisar o
efeito das suas ações sobre os prefixos. Além do mais, requer um bom
nível de conhecimento do protocolo BGP e do comportamento do mesmo ao
longo de um caminho de vários ASes e múltiplas conexões. Lembrando
também que em ataques pesados sempre haverá um telefone tocando
cobrando uma solução .... ou alguém na linha com você esperando a sua
atuação ;-)

> A maioria das operadoras que operam no Brasil implementam algo do
> tipo, mesmo que a maioria o faça de forma bastante incompleta, talvez
> pelo número limitado de peers destas ou da forma que configuraram esta
> community (passando um parâmetro fixo pré-determinado ao invés do
> ASN).
>

As operadoras possuem conexões com vários ASes. E a todo momento,
novas conexões com os ASes já conectados ou ainda não conectados são
criadas. Como não existe um padrão acordado em relação a comunidades,
cada peer implementa manipulações de tráfego com comunidades da sua
maneira. Com isto, fazer a tradução da política da operadora para a
política de cada um dos peer não é uma coisa trivial e simples. Além
do mais deve ser verificado com uma certa frequencia se não há
alterações nas políticas dos peer, como por exemplo, o detentor de um
AS comprando outro AS, e modificando suas politicas em função disto.

> Outra alternativa é que outro AS (B), que faça peer com o AS (C) que
> queira bloquear, mas não se importe com em receber este volume de
> tráfego, faça um "hijack" do(s) seu(s) prefixo(s) (mínimo /24),
> anunciando-o(s) apenas para C.
>
> A vantagem é que independentemente do endereços dos pacotes serem
> forjados você consegue ter uma idéia da origem.
>
> On 4/13/09, Julio Arruda <jarruda-gter at jarruda.com> wrote:
>> GIULIANO (UOL) wrote:
>>> Pessoal,
>>>
>>> Suponto um link de 1 Gbps recebendo um trafego alto de mais de 400 Mbps
>>> ... na forma de um ataque de DoS. O trafego sobe de uma so vez ... para
>>> 900 Mbps ... e na media trabalha com 500 Mbps.
>>>
>>> Como eu poderia fazer, pra injetar um bloqueio de rota ... dos prefixos
>>> de onde se originam o ataque ... via BGP ?  Estamos monitorando o
>>> trafego e o roteador de borda ja esta trabalhando com 89% de CPU.
>>>
>>> O roteador e CISCO e o cliente roda BGP com AS publico com 1 unica
>>> operadora. Alguam poderia me ajudar ? Existem formas de fazer isso ?
>>> Existe algum modelo de configuracao ?
>>>
>>
>> O RTBH (remote trigered blackhole) pode ser combinado com source
>> filtering, porem....lembre que o ataque pode ser spoofed :-)..
>> De qualquer forma RTBH+rpf eu so vi dentro do mesmo provedor...nao
>> 'entre dominios'..
>>
>> Imagine se vem um ataque 'spoofed', dos root servers..Delicia nao ?
>>
>> Mitigacao neste caso, geralmente tem que ser feito no upstream..
>> De qualqeur forma..
>> qual o padrao do ataque ? Se quiser mandar algo em pvt, se sinta a vontade..
>>
>>> Obrigado,
>>>
>>> Giuliano
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>