[GTER] Melhores Práticas em Ataques DOS/DDOS
Rafael Galdino da Cunha
sup.rafaelgaldino at gmail.com
Fri Aug 10 22:13:34 -03 2012
já tive experiências não muito boas com esses tipos de ataques.
onde pode vim ate spoofado e você não saber a verdadeira origem do ataque.
vc pode usar blacklist "blackhole" no seu bgp, isso tem que ver se a sua
operadora liberou os filtros. pois algumas operadoras fazem vendas
"casadas" de firewall, para nessa situação quando você for entrar em
contato com a operadora eles falam em entrar em contato com gerente de
contas e bla bla bla para oferecer o serviço.
lembrando que fazer regras no firewall bloqueando a porta/serviço
dependendo do tamanho do ataque não adiantará pois a banda do atacante pode
ser maior que a sua.
inclusive no *GTER* 33 / GTS 19 eu questionei sobre as politicas e como
analizar etc.. com o pessoal do RNP, e foi uma explicação bem plausível e o
que eu já imaginava escutar.
enfim, tente ver a black para por no seu router, lembrando que a operadora
vai ter que liberar. depois disso pode lhe ajudar.
ou então tentar fazer um null route para o ip de destino, nunca testei mas
acho que pode ajudar.
Em 10 de agosto de 2012 19:18, Kurt Kraut <listas at kurtkraut.net> escreveu:
> Olá,
>
>
> Do que vi do seu site, você é um ISP. Geralmente em um datacenter, um IP é
> atacado por causa do conteúdo ou serviço que ele hospeda. Recentemente,
> conversando com um gestor de um datacenter, ele me disse que nos termos de
> serviço, não permite o uso da infra dele para podcasts pois atraem muito
> DDoS. E faz sentido: muitos são podcasts sobre games, políticos, religiosos
> etc. e esse tipo de conteúdo gera reações agressivas de opositores, ao
> ponto de se mobilizarem para DDoS.
>
> Mas o que me faz pensar é: o que é provido em sua rede, nos IPs atacados,
> que atrai ataques? Como você é um ISP, não consigo claramente presumir. Já
> cogitou uma forma de bloquear/proibir o serviço/protocolo/conteúdo que
> atrai ataques?
>
> Você permite conexões entrantes em portas típicas de daemons, como FTP,
> IRC, HTTP etc? Se você bloquear isso (resguardando sempre os direitos de
> seu consumidor), não estaria reduzindo a atração de ataques que possui?
>
> Eu acho que as sugestões dos colegas da lista serão mais cirúrgicas se você
> nos alimentar com mais detalhes.
>
>
> Abraços,
>
>
> Kurt Kraut
>
> Em 10 de agosto de 2012 19:09, Rosauro Baretta <rosauro at rline.com.br
> >escreveu:
>
> > o ataques DOS/DDOS com destino a ips de nossos clientes... mas como a
> > banda que vem no ataque é grande acaba derrubando toda a nossa rede em
> > vários momentos, de momento o que melhor funciona é solicitar para as
> > operadoras bloquearem do lado deles.. mas o problema é a demora para isso
> > ser feito....
> >
> > Também estamos anunciando as redes atacadas em apenas um link (e também
> ja
> > testamos deixar sem anunciar as redes) ai conseguimos sucesso, mas o
> > problema que ai o ataque logo aparece em outras redes...
> >
> > Aproveito para tirar uma duvida, a community de Blackhole das
> operadoras,
> > eu posso passar para a operadora o IP de origem que está me gerando o
> > ataque ?
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Att.
Rafael Galdino
More information about the gter
mailing list