[GTER] Tem como evitar ataque DDoS
GIULIANO (WZTECH)
giuliano at wztech.com.br
Thu Feb 2 19:58:00 -02 2012
Existe um esquema de BGP Flow Sec, que hoje deve estar sendo
implementado pela
maioria dos roteadores como uma funcao padrao:
ftp://ftp.registro.br/pub/gter/gter23/03-Flowspec.pdf
So nao consegui avaliar ainda o potencial de uso num roteador de borda comum
ligado a uma operadora que nao usa a solucao.
Voce pode comprar o equipamento da ARBOR ... vai resolver ... voce pode
colocar
um roteador de borda como JUNIPER MX80 ou CISCO ASR9001 com suporte real
a varios mpps de trafego.
O peak flow TMS e impressionante !!!
Veja na figura o que ele (na pratica) faz com o trafego de ataque:
http://www.arbornetworks.com/threat-management-system-ddos-mitigation.html
Porem, se o ataque lotar o seu link ... pelo meu entender de nada
adianta. O seu roteador
de borda nao cai ... o ataque nao entra na rede, os servidores nao caem
e nem recebem o ataque ... mas o seu link cai e a
indisponibilidade vem do mesmo jeito.
Pelo menos os servidores nao serao afetados.
O problema e que se olharmos as estatisticas ... no Brasil ... vamos
considerar o que ? ... uns 10000 provedores
de internet de pequeno e medio porte ? Como pagar por esses
equipamentos ? Como investir 1 milhao de dolares
pra evitar DDoS ?
Essas solucoes sao extremamente caras ... o que o governo poderia fazer
seria incentivar a importacao
desse tipo de equipamento (reducao de aliquotas de II, ICMS, etc com fez
recentemente com o II de firewalls) ou a pesquisa interna
pra desenvolver esses appliances aqui no Brasil (FAPESP, CNPJ, etc).
Se nos ja temos potencial pra exportar carros com alta tecnologia pro
mundo ... talvez ... pudessemos tb desenvolver uma
ferramente com esse potencial ... pode ser ate o um sonho ... mas ...
quem sabe.
More information about the gter
mailing list