[GTER] RES: Statefull firewall em frente a servidores
Julio Arruda
jarruda-gter at jarruda.com
Tue Jan 12 23:20:07 -02 2010
On Jan 12, 2010, at 8:07 PM, Paulo Henrique wrote:
> Sobre tal discussão passou pela a mente a existencia de uma solução de
> firewall integrada entre todos os AS onde no caso sobre determinadas
> circustâncias o trafego seja bloqueado já na sua origem, considerando
> que para tal filtro valer exija uma quantidade relativa de trafego
> destino a um unico host tendo como base de informação as tabelas de
> coneção de outros AS.
>
> Espero ter conseguido explicar.
>
Sinceramente, eu nao entendi..:-) de qualquer forma
Flow-spec permite 'anuncios' de filtros...pelo que sei nao existem implementacoes de flowspec 'entre AS'
Porem..filtros NAO sao a 'panaceia' para DDoS, as contramedidas para ddos geralmente envolvem uma inteligencia 'de camada superior' (authenticacao de SYN, de DNS, rate limiting por origem de requests que dao NXDOMAIN), ou historico de trafego ..
> 2010/1/12 Toledo, Luis Carlos <lscrlstld at gmail.com>:
>> Simplesmente negar reposta não é uma proteção, pois o trafego entrante chega
>> de qualquer forma.
>>
>> E como a banda é um elemento finito, pode-se te-la totalmente consumida
>> simplesmente por esse tráfego entrante.
>>
>> E passar a não responder mais, pode levar o atacante a crer que o ddos foi
>> bem sucessido, afinal em determinado tempo o destino sumiu.
>>
>> Abs Toledo
>>
>>>
>>> Se o servidor não aguentar um DoS por causa do stateful, o SO
>>> em si também não vai aguentar gerenciar as conexões abertas.
>>> Concordam? Um sistema externo para bloqueio do DoS vai
>>> precisar existir em ambos os casos.
>>>
>>> Artur
>>>
>>>
>>>
>>>
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list