[GTER] RES: Statefull firewall em frente a servidores
Julio Arruda
jarruda-gter at jarruda.com
Wed Jan 13 10:46:39 -02 2010
On Jan 13, 2010, at 5:18 AM, Renato Frederick wrote:
> Para um ataque de DDoS não seria uma opção um blackrole para o ASN de origem
> do ataque até o atacante "desistir" ou o cliente conseguir com os upstream
> uma solução de bloqueio na borda envolvendo os ISP ou melhor ainda,
> envolvendo o ISP da origem do ataque?
>
Blackhole por destino == Completar o ataque
Blackhole por origem, nao creio que provedores na regiao tenham isto entre ASs.
Blackhole por origem ainda nao resolve caso de trafego spoofed, por sinal..
O recomendado e' ter como fazer cada um deles (filtros, S/RTBH e o que mais der), pois existe aplicacao para cada um.
> Acredito que mesmo que o firewall seja robusto o suficiente(tanto em termos
> de OS quanto de hardware) para suportar o ataque, o DoS vai acabar com a
> banda, ou seja, não iria adiantar muito...
Nao sao, mas isto sinceramente, e' coisa para cada um ver em sua situacao...
>
>
> 2010/1/12 Julio Arruda <jarruda-gter at jarruda.com>
>
>>
>> On Jan 12, 2010, at 8:07 PM, Paulo Henrique wrote:
>>
>>> Sobre tal discussão passou pela a mente a existencia de uma solução de
>>> firewall integrada entre todos os AS onde no caso sobre determinadas
>>> circustâncias o trafego seja bloqueado já na sua origem, considerando
>>> que para tal filtro valer exija uma quantidade relativa de trafego
>>> destino a um unico host tendo como base de informação as tabelas de
>>> coneção de outros AS.
>>>
>>> Espero ter conseguido explicar.
>>>
>>
>> Sinceramente, eu nao entendi..:-) de qualquer forma
>>
>> Flow-spec permite 'anuncios' de filtros...pelo que sei nao existem
>> implementacoes de flowspec 'entre AS'
>> Porem..filtros NAO sao a 'panaceia' para DDoS, as contramedidas para ddos
>> geralmente envolvem uma inteligencia 'de camada superior' (authenticacao de
>> SYN, de DNS, rate limiting por origem de requests que dao NXDOMAIN), ou
>> historico de trafego ..
>>
>>> 2010/1/12 Toledo, Luis Carlos <lscrlstld at gmail.com>:
>>>> Simplesmente negar reposta não é uma proteção, pois o trafego entrante
>> chega
>>>> de qualquer forma.
>>>>
>>>> E como a banda é um elemento finito, pode-se te-la totalmente consumida
>>>> simplesmente por esse tráfego entrante.
>>>>
>>>> E passar a não responder mais, pode levar o atacante a crer que o ddos
>> foi
>>>> bem sucessido, afinal em determinado tempo o destino sumiu.
>>>>
>>>> Abs Toledo
>>>>
>>>>>
>>>>> Se o servidor não aguentar um DoS por causa do stateful, o SO
>>>>> em si também não vai aguentar gerenciar as conexões abertas.
>>>>> Concordam? Um sistema externo para bloqueio do DoS vai
>>>>> precisar existir em ambos os casos.
>>>>>
>>>>> Artur
>>>>>
>>>>>
>>>>>
>>>>>
>>>>
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list