[GTER] Tem como evitar ataque DDoS
Robson Eisinger
eisinger at usp.br
Fri Feb 3 16:47:51 -02 2012
Olha Ricardo,
Não dá pra fazer isso com 100% de certeza, no melhor caso,
identifica-se um acesso anomalo (excesso de conexões oriundas de uma
mesma origem, com um padrão que foge ao usual) e bloqueia-se o IP/REDE
responsável. Bem, as botnets complicam um pouco, mas é melhor pecar
por excesso de zelo e ir acertando aos poucos, até mitigar o ataque.
Mas no fim, vamos ter sempre "sangue inocente" em nossas mãos. Mas a
principio, só ver o comportamento anomalo mesmo. Imagina um mesmo IP
solicitando 200 acessos em menos de um minuto...tirando NAT, o que
pode representar várias máquinas por trás desse IP, não vejo isso como
um trafego normal de uma pessoa acessando uma página/serviço. =)
E a partir de ferramentas de log e monitoração, é possivel levantar
esse comportamento anomalo em outras situações, enfim, analisar o que
foge da normalidade é o caminho. E existem várias ferramentas para
facilitar essa tomada de decisão.
--
Abraços,
Robson Eisinger.
Analista de Sistemas
USP/CCE/DTO/SCMAPLIC
Citando Ricardo Rodrigues <rcr.listas at ig.com.br>:
> Usando os ataques a bancos como exemplo, como se poderia diferenciar o
> acesso legítimo de um usuário ao seu banco e o acesso realizado pelo bot
> instalado no computador deste mesmo usuário? Lembrando que o grau de
> infecção por bot no Brasil é alto, é possível permitir apenas os acessos
> legítimos?
>
> Concordo que é preciso ter técnicas/produtos/serviços para mitigação dos
> efeitos, mas continuaremos "enxugando gelo" enquanto não se impedir a
> comunicação dos bots com os sites de comando e controle.
>
> Abs,
> Ricardo
>
> Em 3 de fevereiro de 2012 06:03, Marlon Borba
> <mborba.lists at gmail.com>escreveu:
>
>> Nelson,
>>
>> Concordo com o que você disse, mas o "enforcement" em nível de governo não
>> ajuda? Afinal, os "backbones próximos da origem" podem dizer que não são
>> obrigados a fazer nada (=países "hostis").
>>
>>
>>
>> 2012/2/3 <nelson at pangeia.com.br>
>>
>> >
>> > Na verdade nao temos nenhuma chance de controlar o submundo, ja ataques
>> > DDoS, sim. E, ao contrario do que foi dito, mesmo um ataque maior que
>> > a infra (link) eh possivel ser detido, com aplicacao de blackroles pelos
>> > backbones proximos das origens, por exemplo. Ou seja, nem sempre ter
>> > as melhores ferramentas resolve, em alguns casos melhor ter o telefone
>> > de quem pode ajudar.
>> >
>> > Novamente: Estar preparado e fazer a analise correta costuma levar a
>> > melhores resultados.
>> >
>> > ./nelson -murilo - http://stsproducoes.com.br
>> >
>> > On Fri, Feb 03, 2012 at 09:11:28AM -0200, Marlon Borba wrote:
>> > > Uma das coisas que podem ser feitas e é efetiva na mitigação da causa é
>> > > firmar parcerias entre governos para combater as botnets. Enquanto não
>> se
>> > > conseguir controlar o submundo, não temos nenhuma chance de deter os
>> > > ataques de DDoS. Tecnologia (como Arbor e Radware) é apenas parte do
>> > > problema.
>> > >
>> > > -Marlon.
>> > >
>> > > 2012/2/2 GIULIANO (WZTECH) <giuliano at wztech.com.br>
>> > >
>> > > > Existe um esquema de BGP Flow Sec, que hoje deve estar sendo
>> > implementado
>> > > > pela
>> > > > maioria dos roteadores como uma funcao padrao:
>> > > >
>> > >
>> > > [...]
>> > > --
>> > > gter list https://eng.registro.br/mailman/listinfo/gter
>> > --
>> > gter list https://eng.registro.br/mailman/listinfo/gter
>> >
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
More information about the gter
mailing list