[GTER] IP spoofing: "rastreamento" e contatos com operadoras

casfre at gmail.com casfre at gmail.com
Mon Jan 26 17:22:51 -02 2009 

Pessoal,

     Preciso de um auxílio no tratamento do problema de IP spoofing.

     Não tenho experiência com redes de maior complexidade, como as de
DataCenters, provedores de acesso a backbones, provedores de acesso à
internet (cliente final) ou operadoras de telefonia. Para evitar que
minha falta de experiência confunda meu julgamento sobre a
complexidade do que desejo tratar, gostaria de saber se poderiam me
ajudar a entender melhor como as coisas acontecem na prática diária.

     A situação é a seguinte: faz tempo que tenho visto problemas com
pacotes "estranhos" em meu firewall externo( ligado à Internet). Até
então estavam limitados a conexões spoofadas (resposta de pacotes que
nunca solicitamos, com destino a nossos ips, logo, concluo que seja
spoofing) para portas inativas ou servidores inexistentes. Com o
advento do problema da query ". NS" [1], voltei a me preocupar com a
situação. Antes desse evento, eu já tinha recorrido à operadora, que
me disse que era spoofing e que não havia o que fazer.

     Recentemente recorri à operadora, novamente, para obter auxílio e
buscar uma forma de identificar qual a origem dos IPs spoofados.  O
que me disseram é que não há como fazer essa pesquisa, devido à
dificuldade de localizar a origem e que, como não estava comprometendo
meu link, ou seja, era um "ataque" que não chegava a "lotar" o meu
canal (e nem chegava a afetá-lo, pois o tráfego era (é) mesmo
pequeno), não havia nada a fazer (exceto eu cuidar da minha parte da
rede, o que já faço, ou tento). Segundo eles, se houvesse um [D]DoS,
contra nossos IPs, eles já possuem proteção para tal e aí sim seria
possível fazer alguma coisa para tratar o problema do [D]DoS.

     Diante disso, para aqueles que lidam com esse problema em redes
maiores, há realmente essa dificuldade? Não há mesmo o que fazer senão
monitorar/tratar/bloquear esse tipo de acesso? Diante do IP spoofing,
só nos resta isso?

     Obrigado.

Cássio








[1]http://eng.registro.br/pipermail/gter/2009-January/021478.html

More information about the gter mailing list