[GTER] Tem como evitar ataque DDoS

Urlan Salgado de Barros urlan at comp.ufla.br
Fri Feb 3 16:47:04 -02 2012


Senhores,

Deixem-me considerar o meio de transmissão sem fio como exemplo.
Nele, existe a possibilidade de troca de frequência caso seja detectado um
ataque de DDoS. Detecta o ataque, troca a frequência e a rede continua
sobrevivendo, mesmo tendo como efeito colateral a redução da vazão e da
taxa de entrega. Porém, como estamos falando de meio cabeado, não existem
outras frequências.

Uma forma que já veio à minha cabeça depois dessa onda de Syn Flood e etc.,
foi a de utilizar um enlace redundante no roteador de borda. Nesse caso, um
sistema de prevenção (baseado em anomalias ou até mesmo em assinaturas)
identificaria o ataque e tomaria a ação de modificar o enlace por onde
passam os dados.

No meio acadêmico isso pode até ser lindo, mas como eu não tenho ideia do
custo, não sei se valeria a pena implementá-lo em um ambiente real. Como eu
não possuo muita experiência em relação a isso, talvez vocês possam me
responder: seria melhor esperar um DDoS acabar e perder muita grana ou
seria mais interessante possuir um enlace redundante para reduzir o custo
do ataque?

Abração, até mais.

Urlan

Em 3 de fevereiro de 2012 16:28, Ricardo Rodrigues
<rcr.listas at ig.com.br>escreveu:

> Usando os ataques a bancos como exemplo, como se poderia diferenciar o
> acesso legítimo de um usuário ao seu banco e o acesso realizado pelo bot
> instalado no computador deste mesmo usuário? Lembrando que o grau de
> infecção por bot no Brasil é alto, é possível permitir apenas os acessos
> legítimos?
>
> Concordo que é preciso ter técnicas/produtos/serviços para mitigação dos
> efeitos, mas continuaremos "enxugando gelo" enquanto não se impedir a
> comunicação dos bots com os sites de comando e controle.
>
> Abs,
> Ricardo
>
> Em 3 de fevereiro de 2012 06:03, Marlon Borba <mborba.lists at gmail.com
> >escreveu:
>
> > Nelson,
> >
> > Concordo com o que você disse, mas o "enforcement" em nível de governo
> não
> > ajuda? Afinal, os "backbones próximos da origem" podem dizer que não são
> > obrigados a fazer nada (=países "hostis").
> >
> >
> >
> > 2012/2/3 <nelson at pangeia.com.br>
> >
> > >
> > > Na verdade nao temos nenhuma chance de controlar o submundo, ja ataques
> > > DDoS, sim. E, ao contrario do que foi dito, mesmo um ataque maior que
> > > a infra (link) eh possivel ser detido, com aplicacao de blackroles
> pelos
> > > backbones proximos das origens, por exemplo.  Ou seja, nem sempre ter
> > > as melhores ferramentas resolve, em alguns casos melhor ter o telefone
> > > de quem pode ajudar.
> > >
> > > Novamente: Estar preparado e fazer a analise correta costuma levar a
> > > melhores resultados.
> > >
> > > ./nelson -murilo - http://stsproducoes.com.br
> > >
> > > On Fri, Feb 03, 2012 at 09:11:28AM -0200, Marlon Borba wrote:
> > > > Uma das coisas que podem ser feitas e é efetiva na mitigação da
> causa é
> > > > firmar parcerias entre governos para combater as botnets. Enquanto
> não
> > se
> > > > conseguir controlar o submundo, não temos nenhuma chance de deter os
> > > > ataques de DDoS. Tecnologia (como Arbor e Radware) é apenas parte do
> > > > problema.
> > > >
> > > > -Marlon.
> > > >
> > > > 2012/2/2 GIULIANO (WZTECH) <giuliano at wztech.com.br>
> > > >
> > > > > Existe um esquema de BGP Flow Sec, que hoje deve estar sendo
> > > implementado
> > > > > pela
> > > > > maioria dos roteadores como uma funcao padrao:
> > > > >
> > > >
> > > > [...]
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list