[GTER] BGP - Anuncios Internacionais
Max Bauer - RouterBox
maxbauer at routerbox.com.br
Fri Feb 24 15:30:21 -02 2012
Marcio,
É exatamente isso que acontece comigo, tenho exatamente essa visão do
problema, sei que a solução sempre será "indisponibilizar" o meu
servidor para a internet, tanto que é exatamente isso
que eu faço na minha borda, porém mesmo bloqueado, o tráfego continua
chegando e saturando o meu link, e infelizmente
não disponho de uma operadora que se importe com o "meu problema", e
estou a mercê dos atacantes...
Se a GVT tivesse community para blackhole, me ajudaria muito, os meus
servidores ficariam fora do ar durante o ataque, mas ao menos, o meu
link não seria sacrificado.
De qualquer forma, já estou migrando para outra operadora que
aparentemente vai me dar o devido suporte, com o devido respeito que
qualquer um merece.
Muito obrigado!
Em 24/02/2012 13:13, Marcio Miguel escreveu:
> Pelo que entendi você bloqueia o IP do "atacante" e não o IP "atacado"
> no seu servidor. No caso de DoS simples, com uma só origem, isto não é
> difícil de ser feito pelas operadoras, até com um filtro na interface
> do cliente (embora sei que a regra de muitas operadoras é bloquear
> somente endereços de destino).
> No caso dos DDoS, com centenas de origens, isto não é possível de ser
> feito nas operadoras. As mitigações que são feitas pelos appliances,
> no caso de Syn floods, bloqueiam todo o acesso ao determinado IP, na
> porta que está sendo atacada. Se for a 80, seu serviço ficará fora da
> mesma forma, mas seu link não saturará. Os appliances, pelo menos os
> que conheço, não conseguem bloquear os Syns somente dos atacantes,
> porque não eles se confundem com as requisições legítimas ( a não ser
> que venha com o EVIL bit setado :) ).
> O uso de blackhole, que também é feito para o IP "atacado" bloqueará
> todas as portas, e não apenas a atacada. Trocar o IP do servidor no
> DNS também não adianta, já que os ataques estão dirigidos para o nome.
> Escolher uma operadora que forneça uma community de blackhole somente
> o ajudará a não prejudicar os demais servidores e a não saturar seu link.
>
> Márcio
>
>
>
> 2012/2/24 Max Bauer - RouterBox <maxbauer at routerbox.com.br
> <mailto:maxbauer at routerbox.com.br>>
>
> Bom dia a todos,
>
> Pessoal estou com um problema que já está se arrastando por vários
> dias, e que infelizmente não estou conseguindo chegar
> a uma solução definitiva, ou ao menos, temporária.
>
> Sou administrador de um core de rede, onde é concentrado 1GB de
> link internet, e a mais ou menos 15 dias, estamos sofrendo
> ataques DDoS diariamente em alguns dos nossos blocos de ip,
> infelizmente a operadora que utilizamos para link internet não
> tem qualquer preparação para agir nesses casos, sempre que
> detectamos os ataques bloqueamos o ip atacado no servidor,
> porém somente isso não resolve pois os atacantes ainda utilizam da
> banda do circuito ip para chegar no nosso servidor,
> para somente ali ser bloqueado.
> Sempre que entramos em contato com o fornecedor, eles dizem que
> não tem o que fazer, que é para se virarmos... imaginem
> a minha situação.
>
> Vendo esse problema se arrastar por vários dias, fui obrigado a
> procurar outro fornecedor que me ajudasse, e que tivesse em
> sua estrutura appliances e experiência para lidar com esse tipo de
> problema, até aí, tudo bem, porém não posso me desligar totalmente
> de uma operadora e migrar para a outra de uma única vez, vendo
> assim, tive uma idéia, divulgar apenas os blocos que estão
> sendo atacados na nova operadora, agora a grande questão:
>
> *Para não ter problemas com anúncios internacionais, qual o menor
> bloco de ip que pode ser divulgado?*
>
> Pergunto isso, pois em alguns sites, tendo lido que anúncios com
> blocos menores que /23 são simplesmente ignorados internacionalmente,
> até onde isso é verdade? Pois eu tenho em mente, de "quebrar" os
> meus blocos em /24 para divulgar na nova operadora apenas os atacados.
>
> Alguém tem alguma idéia para compartilhar com o amigo aqui?
>
> --
> Att.
>
> Max Bauer Marcelino
> http://www.routerbox.com.br
>
> maxbauer at routerbox.com.br <mailto:maxbauer at routerbox.com.br>
> (44) 3232-8300 <tel:%2844%29%203232-8300> - Ramal 242
> (44) 9803-5539
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
--
Att.
Max Bauer Marcelino
http://www.routerbox.com.br
maxbauer at routerbox.com.br
(44) 3232-8300 - Ramal 242
(44) 9803-5539
More information about the gter
mailing list