[GTER] RES: Statefull firewall em frente a servidores

Renato Frederick frederick at dahype.org
Wed Jan 13 08:18:19 -02 2010


Para um ataque de DDoS não seria uma opção um blackrole para o ASN de origem
do ataque até o atacante "desistir" ou o cliente conseguir com os upstream
uma solução de bloqueio na borda envolvendo os ISP ou melhor ainda,
envolvendo o ISP da origem do ataque?

Acredito que mesmo que o firewall seja robusto o suficiente(tanto em termos
de OS quanto de hardware) para suportar o ataque, o DoS vai acabar com a
banda, ou seja, não iria adiantar muito...


2010/1/12 Julio Arruda <jarruda-gter at jarruda.com>

>
> On Jan 12, 2010, at 8:07 PM, Paulo Henrique wrote:
>
> > Sobre tal discussão passou pela a mente a existencia de uma solução de
> > firewall integrada entre todos os AS onde no caso sobre determinadas
> > circustâncias o trafego seja bloqueado já na sua origem, considerando
> > que para tal filtro valer exija uma quantidade relativa de trafego
> > destino a um unico host tendo como base de informação as tabelas de
> > coneção de outros AS.
> >
> > Espero ter conseguido explicar.
> >
>
> Sinceramente, eu nao entendi..:-) de qualquer forma
>
> Flow-spec permite 'anuncios' de filtros...pelo que sei nao existem
> implementacoes de flowspec 'entre AS'
> Porem..filtros NAO sao a 'panaceia' para DDoS, as contramedidas para ddos
> geralmente envolvem uma inteligencia 'de camada superior' (authenticacao de
> SYN, de DNS, rate limiting por origem de requests que dao NXDOMAIN), ou
> historico de trafego ..
>
> > 2010/1/12 Toledo, Luis Carlos <lscrlstld at gmail.com>:
> >> Simplesmente negar reposta não é uma proteção, pois o trafego entrante
> chega
> >> de qualquer forma.
> >>
> >> E como a banda é um elemento finito, pode-se te-la totalmente consumida
> >> simplesmente por esse tráfego entrante.
> >>
> >> E passar a não responder mais, pode levar o atacante a crer que o ddos
> foi
> >> bem sucessido, afinal em determinado tempo o destino sumiu.
> >>
> >> Abs Toledo
> >>
> >>>
> >>> Se o servidor não aguentar um DoS por causa do stateful, o SO
> >>> em si também não vai aguentar gerenciar as conexões abertas.
> >>> Concordam? Um sistema externo para bloqueio do DoS vai
> >>> precisar existir em ambos os casos.
> >>>
> >>> Artur
> >>>
> >>>
> >>>
> >>>
> >>
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list