[GTER] Ataques com IPs spoofados
Rubens Kuhl
rubensk at gmail.com
Fri Dec 23 15:42:49 -02 2011
2011/12/22 Filipe Mendes <filipe.m at hostdime.com.br>:
> Olá Pessoal
>
> Como vocês lidam com ataques em que a origem é spoofada? Não falo na
> filtragem, que pode ser feita por outros métodos eficazes, mas sim no que
> diz respeito a identificação do atacante. Vocês sempre ignoram ou procuram
> saber da operadora de onde vem aquele spike no gráfico, pra que a operadora
> veja de onde veio os spikes, pra que a outra operadora veja, etc, etc, até
> chegar na origem?
>
> Falo de spike de gráfico pois entendo ser a única forma de identificar de
> onde vem um ataque quando o mesmo é spoofado. Alguém já teve sucesso para
> saber de onde veio utilizando esse método?
Vários ataques que reportei tiveram suas origens identificadas, mas
por questões de sigilo contratual a identificação sempre ficou de
conhecimento apenas da operadora de origem. O que em geral eu acaba
sabendo é, na operadora onde estava chegando o ataque, por qual
operadora ele estava vindo. Exemplo: a Embratel informar que o ataque
estava vindo via MCI e que a MCI estava checando de onde estava vindo.
O rastreamento em si é em geral feito pelos flows usando o IP atacado
como chave de busca; spikes de tráfego para você podem não fazer
cosquinha nos backbones.
Rubens
More information about the gter
mailing list