[GTER] BGP - Anuncios Internacionais

Max Bauer - RouterBox maxbauer at routerbox.com.br
Fri Feb 24 15:30:21 -02 2012


Marcio,

É exatamente isso que acontece comigo, tenho exatamente essa visão do 
problema, sei que a solução sempre será "indisponibilizar" o meu 
servidor para a internet, tanto que é exatamente isso
que eu faço na minha borda, porém mesmo bloqueado, o tráfego continua 
chegando e saturando o meu link, e infelizmente
não disponho de uma operadora que se importe com o "meu problema", e 
estou a mercê dos atacantes...

Se a GVT tivesse community para blackhole, me ajudaria muito, os meus 
servidores ficariam fora do ar durante o ataque, mas ao menos, o meu 
link não seria sacrificado.

De qualquer forma, já estou migrando para outra operadora que 
aparentemente vai me dar o devido suporte, com o devido respeito que 
qualquer um merece.

Muito obrigado!

Em 24/02/2012 13:13, Marcio Miguel escreveu:
> Pelo que entendi você bloqueia o IP do "atacante" e não o IP "atacado" 
> no seu servidor. No caso de DoS simples, com uma só origem, isto não é 
> difícil de ser feito pelas operadoras, até com um filtro na interface 
> do cliente (embora sei que a regra de muitas operadoras é bloquear 
> somente endereços de destino).
>  No caso dos DDoS, com centenas de origens, isto não é possível de ser 
> feito nas operadoras. As mitigações que são feitas pelos appliances, 
> no caso de Syn floods, bloqueiam todo o acesso ao determinado IP, na 
> porta que está sendo atacada. Se for a 80, seu serviço ficará fora da 
> mesma forma, mas seu link não saturará. Os appliances, pelo menos os 
> que conheço, não conseguem bloquear os Syns somente dos atacantes, 
> porque não eles se confundem com as requisições legítimas ( a não ser 
> que venha com o EVIL bit setado :) ).
> O uso de blackhole, que também é feito para o IP "atacado" bloqueará 
> todas as portas, e não apenas a atacada. Trocar o IP do servidor no 
> DNS também não adianta, já que os ataques estão dirigidos para o nome.
> Escolher uma operadora que forneça uma community de blackhole somente 
> o ajudará a não prejudicar os demais servidores e a não saturar seu link.
>
> Márcio
>
>
>
> 2012/2/24 Max Bauer - RouterBox <maxbauer at routerbox.com.br 
> <mailto:maxbauer at routerbox.com.br>>
>
>     Bom dia a todos,
>
>     Pessoal estou com um problema que já está se arrastando por vários
>     dias, e que infelizmente não estou conseguindo chegar
>     a uma solução definitiva, ou ao menos, temporária.
>
>     Sou administrador de um core de rede, onde é concentrado 1GB de
>     link internet, e a mais ou menos 15 dias, estamos sofrendo
>     ataques DDoS diariamente em alguns dos nossos blocos de ip,
>     infelizmente a operadora que utilizamos para link internet não
>     tem qualquer preparação para agir nesses casos, sempre que
>     detectamos os ataques bloqueamos o ip atacado no servidor,
>     porém somente isso não resolve pois os atacantes ainda utilizam da
>     banda do circuito ip para chegar no nosso servidor,
>     para somente ali ser bloqueado.
>     Sempre que entramos em contato com o fornecedor, eles dizem que
>     não tem o que fazer, que é para se virarmos... imaginem
>     a minha situação.
>
>     Vendo esse problema se arrastar por vários dias, fui obrigado a
>     procurar outro fornecedor que me ajudasse, e que tivesse em
>     sua estrutura appliances e experiência para lidar com esse tipo de
>     problema, até aí, tudo bem, porém não posso me desligar totalmente
>     de uma operadora e migrar para a outra de uma única vez, vendo
>     assim, tive uma idéia, divulgar apenas os blocos que estão
>     sendo atacados na nova operadora, agora a grande questão:
>
>     *Para não ter problemas com anúncios internacionais, qual o menor
>     bloco de ip que pode ser divulgado?*
>
>     Pergunto isso, pois em alguns sites, tendo lido que anúncios com
>     blocos menores que /23 são simplesmente ignorados internacionalmente,
>     até onde isso é verdade? Pois eu tenho em mente, de "quebrar" os
>     meus blocos em /24 para divulgar na nova operadora apenas os atacados.
>
>     Alguém tem alguma idéia para compartilhar com o amigo aqui?
>
>     -- 
>     Att.
>
>     Max Bauer Marcelino
>     http://www.routerbox.com.br
>
>     maxbauer at routerbox.com.br <mailto:maxbauer at routerbox.com.br>
>     (44) 3232-8300 <tel:%2844%29%203232-8300> - Ramal 242
>     (44) 9803-5539
>
>     --
>     gter list https://eng.registro.br/mailman/listinfo/gter
>
>

-- 
Att.

Max Bauer Marcelino
http://www.routerbox.com.br

maxbauer at routerbox.com.br
(44) 3232-8300 - Ramal 242
(44) 9803-5539




More information about the gter mailing list