[GTER] BGP - Anuncios Internacionais

[Marcio Miguel]

Pelo que entendi você bloqueia o IP do "atacante" e não o IP "atacado" no
seu servidor. No caso de DoS simples, com uma só origem, isto não é difícil
de ser feito pelas operadoras, até com um filtro na interface do cliente
(embora sei que a regra de muitas operadoras é bloquear somente endereços
de destino).
 No caso dos DDoS, com centenas de origens, isto não é possível de ser
feito nas operadoras. As mitigações que são feitas pelos appliances, no
caso de Syn floods, bloqueiam todo o acesso ao determinado IP, na porta que
está sendo atacada. Se for a 80, seu serviço ficará fora da mesma forma,
mas seu link não saturará. Os appliances, pelo menos os que conheço, não
conseguem bloquear os Syns somente dos atacantes, porque não eles se
confundem com as requisições legítimas ( a não ser que venha com o EVIL bit
setado :) ).
O uso de blackhole, que também é feito para o IP "atacado" bloqueará todas
as portas, e não apenas a atacada. Trocar o IP do servidor no DNS também
não adianta, já que os ataques estão dirigidos para o nome.
Escolher uma operadora que forneça uma community de blackhole somente o
ajudará a não prejudicar os demais servidores e a não saturar seu link.

Márcio



2012/2/24 Max Bauer - RouterBox <maxbauer at routerbox.com.br>

> Bom dia a todos,
>
> Pessoal estou com um problema que já está se arrastando por vários dias, e
> que infelizmente não estou conseguindo chegar
> a uma solução definitiva, ou ao menos, temporária.
>
> Sou administrador de um core de rede, onde é concentrado 1GB de link
> internet, e a mais ou menos 15 dias, estamos sofrendo
> ataques DDoS diariamente em alguns dos nossos blocos de ip, infelizmente a
> operadora que utilizamos para link internet não
> tem qualquer preparação para agir nesses casos, sempre que detectamos os
> ataques bloqueamos o ip atacado no servidor,
> porém somente isso não resolve pois os atacantes ainda utilizam da banda
> do circuito ip para chegar no nosso servidor,
> para somente ali ser bloqueado.
> Sempre que entramos em contato com o fornecedor, eles dizem que não tem o
> que fazer, que é para se virarmos... imaginem
> a minha situação.
>
> Vendo esse problema se arrastar por vários dias, fui obrigado a procurar
> outro fornecedor que me ajudasse, e que tivesse em
> sua estrutura appliances e experiência para lidar com esse tipo de
> problema, até aí, tudo bem, porém não posso me desligar totalmente
> de uma operadora e migrar para a outra de uma única vez, vendo assim, tive
> uma idéia, divulgar apenas os blocos que estão
> sendo atacados na nova operadora, agora a grande questão:
>
> *Para não ter problemas com anúncios internacionais, qual o menor bloco de
> ip que pode ser divulgado?*
>
> Pergunto isso, pois em alguns sites, tendo lido que anúncios com blocos
> menores que /23 são simplesmente ignorados internacionalmente,
> até onde isso é verdade? Pois eu tenho em mente, de "quebrar" os meus
> blocos em /24 para divulgar na nova operadora apenas os atacados.
>
> Alguém tem alguma idéia para compartilhar com o amigo aqui?
>
> --
> Att.
>
> Max Bauer Marcelino
> http://www.routerbox.com.br
>
> maxbauer at routerbox.com.br
> (44) 3232-8300 - Ramal 242
> (44) 9803-5539
>
> --
> gter list    https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>