[GTER] RES: Statefull firewall em frente a servidores
Gustavo Campos
guhcampos at gmail.com
Wed Jan 13 11:06:00 -02 2010
Pra isso ter um mínimo de sentido, todos os sources do ataque teriam
que estar no mesmo AS, o que, tratando-se de um DDoS, é meio
'unlikely'. Se o 'Distributed' da sigla for bem empregado pelo
atacante, seria bem capaz de você acabar bloqueando boa parte dos
provedores de Internet de países como Brasil, China, Índia e até dos
EUA. Mais fácil desligar logo os equipamentos e ir tomar uma cerveja.
2010/1/13 Renato Frederick <frederick at dahype.org>:
> Para um ataque de DDoS não seria uma opção um blackrole para o ASN de origem
> do ataque até o atacante "desistir" ou o cliente conseguir com os upstream
> uma solução de bloqueio na borda envolvendo os ISP ou melhor ainda,
> envolvendo o ISP da origem do ataque?
>
> Acredito que mesmo que o firewall seja robusto o suficiente(tanto em termos
> de OS quanto de hardware) para suportar o ataque, o DoS vai acabar com a
> banda, ou seja, não iria adiantar muito...
>
>
> 2010/1/12 Julio Arruda <jarruda-gter at jarruda.com>
>
>>
>> On Jan 12, 2010, at 8:07 PM, Paulo Henrique wrote:
>>
>> > Sobre tal discussão passou pela a mente a existencia de uma solução de
>> > firewall integrada entre todos os AS onde no caso sobre determinadas
>> > circustâncias o trafego seja bloqueado já na sua origem, considerando
>> > que para tal filtro valer exija uma quantidade relativa de trafego
>> > destino a um unico host tendo como base de informação as tabelas de
>> > coneção de outros AS.
>> >
>> > Espero ter conseguido explicar.
>> >
>>
>> Sinceramente, eu nao entendi..:-) de qualquer forma
>>
>> Flow-spec permite 'anuncios' de filtros...pelo que sei nao existem
>> implementacoes de flowspec 'entre AS'
>> Porem..filtros NAO sao a 'panaceia' para DDoS, as contramedidas para ddos
>> geralmente envolvem uma inteligencia 'de camada superior' (authenticacao de
>> SYN, de DNS, rate limiting por origem de requests que dao NXDOMAIN), ou
>> historico de trafego ..
>>
>> > 2010/1/12 Toledo, Luis Carlos <lscrlstld at gmail.com>:
>> >> Simplesmente negar reposta não é uma proteção, pois o trafego entrante
>> chega
>> >> de qualquer forma.
>> >>
>> >> E como a banda é um elemento finito, pode-se te-la totalmente consumida
>> >> simplesmente por esse tráfego entrante.
>> >>
>> >> E passar a não responder mais, pode levar o atacante a crer que o ddos
>> foi
>> >> bem sucessido, afinal em determinado tempo o destino sumiu.
>> >>
>> >> Abs Toledo
>> >>
>> >>>
>> >>> Se o servidor não aguentar um DoS por causa do stateful, o SO
>> >>> em si também não vai aguentar gerenciar as conexões abertas.
>> >>> Concordam? Um sistema externo para bloqueio do DoS vai
>> >>> precisar existir em ambos os casos.
>> >>>
>> >>> Artur
>> >>>
>> >>>
>> >>>
>> >>>
>> >>
>> >> --
>> >> gter list https://eng.registro.br/mailman/listinfo/gter
>> >>
>> > --
>> > gter list https://eng.registro.br/mailman/listinfo/gter
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Gustavo Campos
Sistemas de Informação - UFMG
More information about the gter
mailing list