[GTER] Política de FIREWALL no backbone para bloquear ataque DDoS

Lista lista.gter at gmail.com
Thu Aug 1 09:18:37 -03 2013


Bom dia Douglas,

Nesse caso do colega a manobra de DNS ou Nat 1<-->1 não resolveria pq o
ataque foi no cliente dele, ou seja, last mile, onde vejo o problema é como
limpar esse tráfego e deixar o(s) cliente(s) com com acesso?


Em 31 de julho de 2013 21:47, Douglas Fischer
<fischerdouglas at gmail.com>escreveu:

> Nesse caso?
>   - Use IPs privados em seus servers, com NAT 1<->1 para IPs válidos de sua
> operadora
>   - Publique todos os seus serviços via nome DNS, e use um TTL bem
> baixinho...
> (Indo contra a maioria das recomendações)
>
>
> Isso te permitirá, com certa facilidade/agilidade, trocar o IP do(s)
> server(s) que estão sendo atacados, e solicitar o bloqueio daquele(s) IP(s)
> específico(s) para operadora.
>
>
> P.S.: Em um cliente com LastMile redudante, eu já ativei um BGP(ASN
> Inválido) com anúncio de um bloco da própria operadora. Me lembro de ter
> usado algumas communities para alguma coisa(não lembro oque).
>       Não cheguei a usar/precisar de blackhole, mas imagino que estivesse
> disponível.
>       Fico perguntando se seria muito complicado de conseguir algo assim em
> um link comum...
>
> Em 31 de julho de 2013 18:15, Lista <lista.gter at gmail.com> escreveu:
>
> > @Juliano
> >
> > Acho que então a pergunta seria, Como fazer a limpeza do mesmo para que
> não
> > necessite de se fazer um blackhole, e usar tal em ultimo caso?
> >
> >
> > Em 29 de julho de 2013 15:51, Giovane Heleno <webgeo at gmail.com>
> escreveu:
> >
> > > Para quem tem BGP/ASN, o ideal seria participar do projeto INOC-DBA e
> > > utilizar-se deste recurso para estes fins.
> > > O problema é que na realidade infelizmente, a maioria das grandes
> > > teles (e vários menores também), o INOC-DBA não funciona (ninguém
> > > atende) ou é transferido para o 0800.
> > >
> > > Giovane Heleno
> > > www.giovane.pro.br
> > >
> > >
> > > Em 29 de julho de 2013 10:13, Bruno Cabral <bruno at openline.com.br>
> > > escreveu:
> > > > Quando eu tinha Embratel e não usava BGP ela nunca me cobrou para
> > > bloquear um dos 3 ou 4 ataques que sofri, na época
> > > > Quando eu tratei com a Intelig numa associação que trabalhei, também
> > > nunca cobraram para fazer bloqueio.
> > > >
> > > > Sem BGP o único problema é a demora para passar do atendimento do
> 0800
> > > até quem entende.
> > > > !3runo Cabral
> > > > --
> > > > Cursos e Consultoria BGP
> > > >
> > > >> Eu só queria ter uma ideia de como isso funciona nas grandes teles.
> Um
> > > >> cliente com link de 2Mbps sem BGP não pode fazer nada. Só restaria à
> > > >> operadora fazer o bloqueio, mas e se ela quiser cobrar por isso? Ou
> o
> > > >> cliente paga o "serviço" ou espera o ataque passar. Ou cancela o
> link!
> > > >>
> > > >> --
> > > >> Fábio R. Hernandes
> > > >
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list