[GTER] IP spoofing: "rastreamento" e contatos com operadoras

Julio Arruda jarruda-gter at jarruda.com
Mon Jan 26 19:17:01 -02 2009


casfre at gmail.com wrote:
> Pessoal,
> 
>      Preciso de um auxílio no tratamento do problema de IP spoofing.
> 
>      Não tenho experiência com redes de maior complexidade, como as de
> DataCenters, provedores de acesso a backbones, provedores de acesso à
> internet (cliente final) ou operadoras de telefonia. Para evitar que
> minha falta de experiência confunda meu julgamento sobre a
> complexidade do que desejo tratar, gostaria de saber se poderiam me
> ajudar a entender melhor como as coisas acontecem na prática diária.
> 
>      A situação é a seguinte: faz tempo que tenho visto problemas com
> pacotes "estranhos" em meu firewall externo( ligado à Internet). Até
> então estavam limitados a conexões spoofadas (resposta de pacotes que
> nunca solicitamos, com destino a nossos ips, logo, concluo que seja
> spoofing) para portas inativas ou servidores inexistentes. Com o
> advento do problema da query ". NS" [1], voltei a me preocupar com a
> situação. Antes desse evento, eu já tinha recorrido à operadora, que
> me disse que era spoofing e que não havia o que fazer.

Bom....
Spoofing contra voce, realmente e' complicado de pegar, pois afinal de 
contas, nao vem um bit setado "Sou Spoofed" tambem para o seu upstream, 
imagine que ele ate pode pegar em casos especificos (spoofed com uma 
origem de um range de outro cliente dele por exemplo, vindo da Internet, 
se bem que ainda pode ser gente multihomed com um "SWIP" da vida 
mandando trafego por outro provedor SEM BCP38....)..

Um provedor pode RASTREAR trafego, manualmente ou com ferramentas 
especificas, ate a ENTRADA na rede dele, dai para fora, muito dificil.

> 
>      Recentemente recorri à operadora, novamente, para obter auxílio e
> buscar uma forma de identificar qual a origem dos IPs spoofados.  O
> que me disseram é que não há como fazer essa pesquisa, devido à
> dificuldade de localizar a origem e que, como não estava comprometendo
> meu link, ou seja, era um "ataque" que não chegava a "lotar" o meu
> canal (e nem chegava a afetá-lo, pois o tráfego era (é) mesmo
> pequeno), não havia nada a fazer (exceto eu cuidar da minha parte da
> rede, o que já faço, ou tento). Segundo eles, se houvesse um [D]DoS,
> contra nossos IPs, eles já possuem proteção para tal e aí sim seria
> possível fazer alguma coisa para tratar o problema do [D]DoS.

Rastrear o ataque != Proteger do ataque, inclusive, voce NAO precisa 
rastrear ate a origem para filtrar por exemplo um syn-flood, ou 
determinados outros ataques.

>      Diante disso, para aqueles que lidam com esse problema em redes
> maiores, há realmente essa dificuldade? Não há mesmo o que fazer senão
> monitorar/tratar/bloquear esse tipo de acesso? Diante do IP spoofing,
> só nos resta isso?

Disclaimer, trabalho na Arbor, que e' geralmente involvida quando se 
fala de DDoS, portanto, tenho uma visao 'biased' sobre o que fazemos.

Ja vi gente rastrear 'para cima' (isto e', passando uma 'caracteristica 
de ataque' para o Upstream via Peakflow), usando Fingerprint Sharing 
Alliance, que e' entre clientes Arbor, so que nao e' coisa que se faz 
sempre, nem  se faz de maneira automatica, e' mais cortesia do que um 
"botao de rastreie pelo caminho todo'.

Uma curiosidade, voce menciona o ataque de DNS refletido.
Voce tem BCP38 na sua rede ?




More information about the gter mailing list