[GTER] BGP - Anuncios Internacionais

Antonio Carlos Pina antoniocarlospina at gmail.com
Sat Feb 25 20:29:02 -02 2012


E o appliance nao adiantará nada se a banda do ataque for Maior que sua banda disponivel, como ja falado aqui.

Abs

Em 24/02/2012, às 14:13, Marcio Miguel <marcio.miguel+gter at gmail.com> escreveu:

> Pelo que entendi você bloqueia o IP do "atacante" e não o IP "atacado" no
> seu servidor. No caso de DoS simples, com uma só origem, isto não é difícil
> de ser feito pelas operadoras, até com um filtro na interface do cliente
> (embora sei que a regra de muitas operadoras é bloquear somente endereços
> de destino).
> No caso dos DDoS, com centenas de origens, isto não é possível de ser
> feito nas operadoras. As mitigações que são feitas pelos appliances, no
> caso de Syn floods, bloqueiam todo o acesso ao determinado IP, na porta que
> está sendo atacada. Se for a 80, seu serviço ficará fora da mesma forma,
> mas seu link não saturará. Os appliances, pelo menos os que conheço, não
> conseguem bloquear os Syns somente dos atacantes, porque não eles se
> confundem com as requisições legítimas ( a não ser que venha com o EVIL bit
> setado :) ).
> O uso de blackhole, que também é feito para o IP "atacado" bloqueará todas
> as portas, e não apenas a atacada. Trocar o IP do servidor no DNS também
> não adianta, já que os ataques estão dirigidos para o nome.
> Escolher uma operadora que forneça uma community de blackhole somente o
> ajudará a não prejudicar os demais servidores e a não saturar seu link.
> 
> Márcio
> 
> 
> 
> 2012/2/24 Max Bauer - RouterBox <maxbauer at routerbox.com.br>
> 
>> Bom dia a todos,
>> 
>> Pessoal estou com um problema que já está se arrastando por vários dias, e
>> que infelizmente não estou conseguindo chegar
>> a uma solução definitiva, ou ao menos, temporária.
>> 
>> Sou administrador de um core de rede, onde é concentrado 1GB de link
>> internet, e a mais ou menos 15 dias, estamos sofrendo
>> ataques DDoS diariamente em alguns dos nossos blocos de ip, infelizmente a
>> operadora que utilizamos para link internet não
>> tem qualquer preparação para agir nesses casos, sempre que detectamos os
>> ataques bloqueamos o ip atacado no servidor,
>> porém somente isso não resolve pois os atacantes ainda utilizam da banda
>> do circuito ip para chegar no nosso servidor,
>> para somente ali ser bloqueado.
>> Sempre que entramos em contato com o fornecedor, eles dizem que não tem o
>> que fazer, que é para se virarmos... imaginem
>> a minha situação.
>> 
>> Vendo esse problema se arrastar por vários dias, fui obrigado a procurar
>> outro fornecedor que me ajudasse, e que tivesse em
>> sua estrutura appliances e experiência para lidar com esse tipo de
>> problema, até aí, tudo bem, porém não posso me desligar totalmente
>> de uma operadora e migrar para a outra de uma única vez, vendo assim, tive
>> uma idéia, divulgar apenas os blocos que estão
>> sendo atacados na nova operadora, agora a grande questão:
>> 
>> *Para não ter problemas com anúncios internacionais, qual o menor bloco de
>> ip que pode ser divulgado?*
>> 
>> Pergunto isso, pois em alguns sites, tendo lido que anúncios com blocos
>> menores que /23 são simplesmente ignorados internacionalmente,
>> até onde isso é verdade? Pois eu tenho em mente, de "quebrar" os meus
>> blocos em /24 para divulgar na nova operadora apenas os atacados.
>> 
>> Alguém tem alguma idéia para compartilhar com o amigo aqui?
>> 
>> --
>> Att.
>> 
>> Max Bauer Marcelino
>> http://www.routerbox.com.br
>> 
>> maxbauer at routerbox.com.br
>> (44) 3232-8300 - Ramal 242
>> (44) 9803-5539
>> 
>> --
>> gter list    https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list