[GTER] Tem como evitar ataque DDoS ??
Ricardo Ozelo
ricardo.ozelo at friistelecom.com.br
Thu Feb 2 16:46:52 -02 2012
Prezados,
Falando de ataque DDoS, é importante lembrar que não são somente os hackers
que escravisam roteadores criando suas botnets para utilizar em seus
ataques. Algumas celebridades facilmente disparam "ataques DDoS" enquanto
tomam seu café da manhã quando apenas "retweetam" algum site que acharam
interessante pela web sem a menor intenção de prejudicar as pessoas.
Vamos dizer que, alguém não muito famoso, com meio milhão de seguidores,
comenta que encontrou um gadget legal em algum pequeno site. Eu vi isso
acontecendo e derruba tudo mesmo. Pois aqui estamos falando apenas de
acesso normal à sites que não estão preparados para receber mais de oito
mil acessos simultâneos, ou mais. Situação atípica evidentemente, mas
totalmente natural.
Ou seja, penso que a melhor maneira de "lidar com ataques" dessa natureza,
que consiste em apenas "acessar um referido site de qualquer lugar", é
tentar manter o conteúdo o mais distribuído possível. Digamos que o site "
www.exemplo.com.br" tem seu conteúdo distribuído. Quem resolver esse nome
lá na China, pega o conteúdo que foi distribuído na china. Quem resolver
esse nome no Brasil, pega o conteúdo distribuído no PTT-Metro e assim por
diante. Em outras palavras, quanto mais concentrado o conteúdo do site,
maior a chance do "ataque DDoS" obter sucesso e derrubar seu serviço.
Não vejo a segurança de uma forma tal como "impedir que aconteça algo". Me
sinto mais seguro quando penso que "se acontecer algo", sei em quanto tempo
recupero meu serviço.
Para cessar o abuso que afeta seus ativos de rede você deve no mínimo
evitar que a origem chegue até eles. Publicar um blackhole para o destino
em questão, se possível, já resolve e em último caso, se identificado o AS
de origem do ataque, fazendo um prepend do mencionado AS no AS_PATH dos
seus anúncios também resolve.
Na pior das hipóteses, você vai necessariamente recorrer à outros AS's e
centros de tratamento de incidentes para identificar, conter o "ataque" e
finalmente recuperar seu serviço para quem interessa. Embora penso que
Internet não é e nunca será veículo apropriado para serviços de missão
crítica, enquanto for um ambiente essencialmente público e colaborativo.
Ozelo
GB Informatica
INOC-DBA 53131*100
55 19 3565-4500
55 19 9274-8203
More information about the gter
mailing list