[GTER] Tem como evitar ataque DDoS

GIULIANO (WZTECH) giuliano at wztech.com.br
Thu Feb 2 19:58:00 -02 2012


Existe um esquema de BGP Flow Sec, que hoje deve estar sendo 
implementado pela
maioria dos roteadores como uma funcao padrao:

ftp://ftp.registro.br/pub/gter/gter23/03-Flowspec.pdf

So nao consegui avaliar ainda o potencial de uso num roteador de borda comum
ligado a uma operadora que nao usa a solucao.

Voce pode comprar o equipamento da ARBOR ... vai resolver ... voce pode 
colocar
um roteador de borda como JUNIPER MX80 ou CISCO ASR9001 com suporte real 
a varios mpps de trafego.

O peak flow TMS e impressionante !!!

Veja na figura o que ele (na pratica) faz com o trafego de ataque:

http://www.arbornetworks.com/threat-management-system-ddos-mitigation.html

Porem, se o ataque lotar o seu link ... pelo meu entender de nada 
adianta. O seu roteador
de borda nao cai ... o ataque nao entra na rede, os servidores nao caem 
e nem recebem o ataque ... mas o seu link cai e a
indisponibilidade vem do mesmo jeito.

Pelo menos os servidores nao serao afetados.

O problema e que se olharmos as estatisticas ... no Brasil ... vamos 
considerar o que ? ... uns 10000 provedores
de internet de pequeno e medio porte ?  Como pagar por esses 
equipamentos ?  Como investir 1 milhao de dolares
pra evitar DDoS ?

Essas solucoes sao extremamente caras ... o que o governo poderia fazer 
seria incentivar a importacao
desse tipo de equipamento (reducao de aliquotas de II, ICMS, etc com fez 
recentemente com o II de firewalls) ou a pesquisa interna
pra desenvolver esses appliances aqui no Brasil (FAPESP, CNPJ, etc).

Se nos ja temos potencial pra exportar carros com alta tecnologia pro 
mundo ... talvez ... pudessemos tb desenvolver uma
ferramente com esse potencial ... pode ser ate o um sonho ... mas ... 
quem sabe.





More information about the gter mailing list