[GTER] Política de FIREWALL no backbone para bloquear ataque DDoS

Douglas Fischer fischerdouglas at gmail.com
Wed Jul 31 21:47:49 -03 2013


Nesse caso?
  - Use IPs privados em seus servers, com NAT 1<->1 para IPs válidos de sua
operadora
  - Publique todos os seus serviços via nome DNS, e use um TTL bem
baixinho...
(Indo contra a maioria das recomendações)


Isso te permitirá, com certa facilidade/agilidade, trocar o IP do(s)
server(s) que estão sendo atacados, e solicitar o bloqueio daquele(s) IP(s)
específico(s) para operadora.


P.S.: Em um cliente com LastMile redudante, eu já ativei um BGP(ASN
Inválido) com anúncio de um bloco da própria operadora. Me lembro de ter
usado algumas communities para alguma coisa(não lembro oque).
      Não cheguei a usar/precisar de blackhole, mas imagino que estivesse
disponível.
      Fico perguntando se seria muito complicado de conseguir algo assim em
um link comum...

Em 31 de julho de 2013 18:15, Lista <lista.gter at gmail.com> escreveu:

> @Juliano
>
> Acho que então a pergunta seria, Como fazer a limpeza do mesmo para que não
> necessite de se fazer um blackhole, e usar tal em ultimo caso?
>
>
> Em 29 de julho de 2013 15:51, Giovane Heleno <webgeo at gmail.com> escreveu:
>
> > Para quem tem BGP/ASN, o ideal seria participar do projeto INOC-DBA e
> > utilizar-se deste recurso para estes fins.
> > O problema é que na realidade infelizmente, a maioria das grandes
> > teles (e vários menores também), o INOC-DBA não funciona (ninguém
> > atende) ou é transferido para o 0800.
> >
> > Giovane Heleno
> > www.giovane.pro.br
> >
> >
> > Em 29 de julho de 2013 10:13, Bruno Cabral <bruno at openline.com.br>
> > escreveu:
> > > Quando eu tinha Embratel e não usava BGP ela nunca me cobrou para
> > bloquear um dos 3 ou 4 ataques que sofri, na época
> > > Quando eu tratei com a Intelig numa associação que trabalhei, também
> > nunca cobraram para fazer bloqueio.
> > >
> > > Sem BGP o único problema é a demora para passar do atendimento do 0800
> > até quem entende.
> > > !3runo Cabral
> > > --
> > > Cursos e Consultoria BGP
> > >
> > >> Eu só queria ter uma ideia de como isso funciona nas grandes teles. Um
> > >> cliente com link de 2Mbps sem BGP não pode fazer nada. Só restaria à
> > >> operadora fazer o bloqueio, mas e se ela quiser cobrar por isso? Ou o
> > >> cliente paga o "serviço" ou espera o ataque passar. Ou cancela o link!
> > >>
> > >> --
> > >> Fábio R. Hernandes
> > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list