[GTER] Tem como evitar ataque DDoS ??
Michel Ferreira
michelf at gmail.com
Tue Feb 14 23:18:03 -02 2012
Urlan,
Seguem algumas métricas que eu utilizo, é claro que cada uma delas depende
mto da tecnologia que vc tem disponível, mas segue a idéia geral:
analise das sessoes do fw, se for possivel fazer o dump de sessoes no
momento do ataque eu analiso ela com alguns scripts que indicam por ex, top
sources / top destinations / top services / top flows
a partir desse mesmo dump tambem consigo definir se o ataque é realmente
distribuido (baseado na distribuicao de sources por destino, usa IP
spoofado ou de fora do pais
outro ponto que eu analiso é o trafego nas interfaces de rede, qtd de Mbs
versus o normal para o horário (por isso é importante ter um baseline, para
sua comparação ser válida), qtds de pacotes por segundo, se der tb tento
analisar a distribuicao de pacotes x tamanho
cpu e memoria, depende mto do comportamento de cada tecnologia de fw, mas
em geral cpu alta e trafego baixo pode indicar um ataque usando qtd grande
de pacotes pequenos, se memoria estiver alta indica trafego mto fragmentado
captura de pacotes: sei que numa situacao de alta utilizacao de cpu nao eh
o ideal, porem no estagio inicial do ataque caso nao seja possivel obter
nenhuma informacoes de outros pontos, tb faco uma captura com parametros
definidos apos analise inicial da tabela de sessoes e com numero de pacotes
definido, assim consigo uma amostra do trafego ofensor e consigo entender
se esta fazendo alguma coisa na camada de aplicacao, um get simples, etc..
os pontos de analise podem mudar dependendo do q vc tiver na sua rede e do
quao comprometida sua infra está no momento do ataque (por ex, CPU pode
estar tao alta que nem entrar no fw vc consegue) mas basicamente a ideia é
essa.
Quanto ao IPS, sim, depende não só do IPS mas também do q vc tem
configurado nele, no momento do ataque as vezes é interessante desativar
seu perfil normal de proteção e ativar somente o especifico para o momento
(como protecao para limitar no. de conexoes por seg, algum limitador de
banda para determinado site / servidor, bloquear um tipo de GET com
user-agent especifico, etc...)
Vou ver se pego as informacoes exatas da qtd de pacotes por seg de um dos
ataques que aconteceram semana passada para passar para vocês uma métrica
de um caso real em que o IPS conseguiu dar uma segurada.
Até mais,
Michel
2012/2/14 Antonio Carlos Pina <antoniocarlospina at gmail.com>
> Sim, dependendo do IPS.
>
> Em 14/02/2012, às 18:59, Juliano Primavesi | KingHost <
> juliano at kinghost.com.br> escreveu:
>
> >
> > IPS segura 2 milhoes de pacotes por segundo?
> >
> > Em 14/02/12 14:05, Urlan Salgado de Barros escreveu:
> >> Olá Michel,
> >>
> >> Eu gostaria de saber o que você leva em consideração para criar a
> >> característica do ataque. Você usa métricas? Cria um perfil estatístico
> do
> >> ataque? O que você emprega?
> >>
> >> Urlan
> >>
> >> Em 13 de fevereiro de 2012 21:58, Michel Ferreira<michelf at gmail.com
> >escreveu:
> >>
> >>> Dependendo da característica do ataque, também é possível tunar um IPS
> para
> >>> dar uma segurada, ele pode não suportar tudo mas dependendo da sua
> infra
> >>> (que pode não ser a melhor do mundo) é possível distribuir a carga e
> >>> amenizar o ataque com bloqueios no router de borda + IPS + firewall.
> >>>
> >>> Até mais,
> >>> Michel
> >>>
> >>> 2012/2/11 Clodonil Trigo<clodonil at nisled.org>
> >>>
> >>>> Só dando um pitaco na conversa de vocês, muitos tem falado que a
> >>> ferramenta
> >>>> T50 é responsável pelos últimos ataques. Segue o link do Nelson Brito
> >>> dando
> >>>> algumas dicas de como minimizar os efeitos do ataque. Acredito que
> vale a
> >>>> pena dar uma lida
> >>>>
> >>>> http://fnstenv.blogspot.com/2012/02/uso-irresponsavel-do-t50.html
> >>>>
> >>>>
> >>>> Prof. Msc. Clodonil. Trigo
> >>>> _________________________________________________
> >>>> Coordenador do Núcleo de Computação - UNASP
> >>>> Assessor acadêmico de EAD - UNASP
> >>>>
> >>>>
> >>>>
> >>>> Em 10 de fevereiro de 2012 18:37, Juliano<mirandolli at gmail.com>
> >>> escreveu:
> >>>>> Kurt Kraut, sabe qual a solucao da maxihost para ataques? Eles
> >>> desligam
> >>>>> voce da rede completamente.
> >>>>> MaxiHost é a pior empresa que existe e ela nao segura nenhum ataque
> >>> nao,
> >>>>> mais parece uma empresa amadora.
> >>>>>
> >>>>> Att.
> >>>>> Juliano
> >>>>>
> >>>>>
> >>>>> 2012/2/10 Patrick Barreto Petronetto<patrickbp at gmail.com>
> >>>>>
> >>>>>> Kurt,
> >>>>>> pelo site e pelo o que você mesmo disse no email eu sinceramente nem
> >>>>>> procuraria esta empresa. Acho que nenhuma empresa com um produto de
> >>>>>> qualidade (ainda mais nesse mercado de datacenter) teria um site
> >>>>> daqueles.
> >>>>>> E outra, você confiaria em uma solução de mitigação de DoS/DDoS de
> >>> uma
> >>>>>> empresa que deixa o php info como pagina padrão do domínio? (
> >>>>>> http://fireslayer.com.br) eu ficaria com os 2 pés atrás.
> >>>>>>
> >>>>>>
> >>>>>> 2012/2/10 Kurt Kraut<listas at kurtkraut.net>
> >>>>>>
> >>>>>>> Olá senhores,
> >>>>>>>
> >>>>>>>
> >>>>>>> Ainda sobre o assunto, eu a algum tempo flertava com a solução de
> >>>>>> proteção
> >>>>>>> DDoS fireslayer.com.br. Do que entendi é um bot que neutraliza
> >>>> ataques
> >>>>>> no
> >>>>>>> roteador de borda fazendo nullroutes das origens do ataque.
> >>>>>>>
> >>>>>>> Agora é uma empresa esquisita. O telefone nunca atende. O
> >>> formulário
> >>>> de
> >>>>>>> contato do site já preenchi várias vezes nos últimos 3 anos e nunca
> >>>>>> recebo
> >>>>>>> resposta. Me sugeriram entrar em contato com a Maxihost.com.br, me
> >>>>>> parece
> >>>>>>> ser a dona ou a autora da solução. Mas instantes atrás alguém
> >>> postou
> >>>> no
> >>>>>>> 'caiu' que a Maxihost está offline e ao voltar, o site principal e
> >>> o
> >>>>> DNS
> >>>>>>> estão sendo servidos por datacenters nos EUA já famosos por
> >>>> aguentarem
> >>>>>> bem
> >>>>>>> ataques (Staminus, RackSpace). Isso me deixou apreensivo.
> >>>>>>>
> >>>>>>> Portanto, pergunto aos senhores:
> >>>>>>>
> >>>>>>> *1)* Alguém tem boa referência da solução Fireslayer? Tem alguém
> >>>> usando
> >>>>>>> além de Maxihost/Origemweb/Hostlocation?
> >>>>>>> *2)* Há algum outro fornecedor de abordagem semelhante em BGP que
> >>>>>> conheçam?
> >>>>>>>
> >>>>>>> Desde já agradeço pela atenção,
> >>>>>>>
> >>>>>>>
> >>>>>>> Kurt Kraut
> >>>>>>>
> >>>>>>>
> >>>>>>> Em 9 de fevereiro de 2012 11:13, Bruno Cabral<
> >>> bruno at openline.com.br
> >>>>>>>> escreveu:
> >>>>>>>> Na verdade culpar o Anonymous virou a nova desculpa, porque
> >>> ninguém
> >>>>>> mais
> >>>>>>>> acredita nos rompimentos de fibra...
> >>>>>>>>
> >>>>>>>> !3runo Cabral
> >>>>>>>>
> >>>>>>>>> do jeito que andam os backbones brasileiros
> >>>>>>>>> e seus triplos rompimentos de fibra, a gente nunca sabe se foi
> >>>>> ataque
> >>>>>>> ou
> >>>>>>>>> infeliz coincidência.
> >>>>>>>> --
> >>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>>
> >>>>>>> --
> >>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>
> >>>>>> --
> >>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>
> >>>>> --
> >>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>
> >>>> --
> >>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>> --
> >>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list