[GTER] DDoS de ontem e o de amanhã - Lições Aprend= idas?

Henrique de Moraes Holschuh hmh at hmh.eng.br
Thu Mar 28 14:38:12 -03 2013


On Thu, Mar 28, 2013, at 12:36, Rafael Cresci wrote:
> Patrick,
> 
> Talvez seria um assunto a ser abordado no próximo GTER/GTS como trabalho? Me disponho até mesmo a ser co-autor ou ajudar se for necessário.
> 
> Conquanto eu concordo em geral/genericamente com o que você escreveu, existem pontos específicos onde o buraco é mais embaixo (ou é simplesmente problema de I/O)...

É assunto interessante sim.

Outros pontos importantes a serem debatidos/considerados:

* Filtragens no plano de controle (BGP) que poderiam passar a ser fortemente recomendadas, ou até mesmo obrigatórias, para proteger os endereços de infraestrutura do PTT.

* Filtragens no plano de dados do participante, que poderiam ser fortemente recomendadas, ou até mesmo obrigatórias, para proteger os endereços de infraestrutura do PTT.

* Filtragens no plano de dados da própria matriz de comutação do PTT, para proteger da incompetência/negligência generalizada que resulta no desrespeito geral da BCP-46 (egress filtering) por grande parte dos AS, independente de tamanho dos mesmos.

* Obrigatoriedade ou não do respeito às communities well-known (principalmente NO_EXPORT) pelo roteador de borda do participante que estiver ligado ao PTT, e recomendação/documentação de procedimentos para contenção de DDoS que estiver vindo via PTT usando communities ou alguma manobra nos RS pela equipe do NOC do PTT.

* Campanha pesada contra o recursivo aberto pro trânsito, e contra o compartilhamento do mesmo IP por recursivo e autoritativo (que aumenta em muito o dano colateral da filtragem defensiva).

* Campanha contra recursivo que não valida DNSSEC.

-- 
  "One disk to rule them all, One disk to find them. One disk to bring
  them all and in the darkness grind them. In the Land of Redmond
  where the shadows lie." -- The Silicon Valley Tarot
  Henrique Holschuh



More information about the gter mailing list