[GTER] RES: Statefull firewall em frente a servidores

Julio Arruda jarruda-gter at jarruda.com
Wed Jan 13 10:46:39 -02 2010


On Jan 13, 2010, at 5:18 AM, Renato Frederick wrote:

> Para um ataque de DDoS não seria uma opção um blackrole para o ASN de origem
> do ataque até o atacante "desistir" ou o cliente conseguir com os upstream
> uma solução de bloqueio na borda envolvendo os ISP ou melhor ainda,
> envolvendo o ISP da origem do ataque?
> 
Blackhole por destino == Completar o ataque
Blackhole por origem, nao creio que provedores na regiao tenham isto entre ASs.
Blackhole por origem ainda nao resolve caso de trafego spoofed, por sinal..

O recomendado e' ter como fazer cada um deles (filtros, S/RTBH e o que mais der), pois existe aplicacao para cada um.

> Acredito que mesmo que o firewall seja robusto o suficiente(tanto em termos
> de OS quanto de hardware) para suportar o ataque, o DoS vai acabar com a
> banda, ou seja, não iria adiantar muito...

Nao sao, mas isto sinceramente, e' coisa para cada um ver em sua situacao...



> 
> 
> 2010/1/12 Julio Arruda <jarruda-gter at jarruda.com>
> 
>> 
>> On Jan 12, 2010, at 8:07 PM, Paulo Henrique wrote:
>> 
>>> Sobre tal discussão passou pela a mente a existencia de uma solução de
>>> firewall integrada entre todos os AS onde no caso sobre determinadas
>>> circustâncias o trafego seja bloqueado já na sua origem, considerando
>>> que para tal filtro valer exija uma quantidade relativa de trafego
>>> destino a um unico host tendo como base de informação as tabelas de
>>> coneção de outros AS.
>>> 
>>> Espero ter conseguido explicar.
>>> 
>> 
>> Sinceramente, eu nao entendi..:-) de qualquer forma
>> 
>> Flow-spec permite 'anuncios' de filtros...pelo que sei nao existem
>> implementacoes de flowspec 'entre AS'
>> Porem..filtros NAO sao a 'panaceia' para DDoS, as contramedidas para ddos
>> geralmente envolvem uma inteligencia 'de camada superior' (authenticacao de
>> SYN, de DNS, rate limiting por origem de requests que dao NXDOMAIN), ou
>> historico de trafego ..
>> 
>>> 2010/1/12 Toledo, Luis Carlos <lscrlstld at gmail.com>:
>>>> Simplesmente negar reposta não é uma proteção, pois o trafego entrante
>> chega
>>>> de qualquer forma.
>>>> 
>>>> E como a banda é um elemento finito, pode-se te-la totalmente consumida
>>>> simplesmente por esse tráfego entrante.
>>>> 
>>>> E passar a não responder mais, pode levar o atacante a crer que o ddos
>> foi
>>>> bem sucessido, afinal em determinado tempo o destino sumiu.
>>>> 
>>>> Abs Toledo
>>>> 
>>>>> 
>>>>> Se o servidor não aguentar um DoS por causa do stateful, o SO
>>>>> em si também não vai aguentar gerenciar as conexões abertas.
>>>>> Concordam? Um sistema externo para bloqueio do DoS vai
>>>>> precisar existir em ambos os casos.
>>>>> 
>>>>> Artur
>>>>> 
>>>>> 
>>>>> 
>>>>> 
>>>> 
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>> 
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list