[GTER] DDoS - Protecao para fornecedores de Transito IP

[DMM Listas]

A Arbor tem dois produtos (os que conheço), sendo o Pravail e o PeakFlow.

O PeakFlow trabalha na operadora escutando o tráfego do cliente por
amostragens de flow. Quando identificado um comportamento anormal, ele
publica uma rota mais específica e traz o tráfego para ele, fazendo a
devida filtragem. Por trabalhar com flow, ele não é tão preciso e demora um
certo tempo (poucos minutos) até começar a mitigar o ataque.

O Pravail é para o usuário final. Nele a filtragem é inline. Ele fica entre
o seu roteador de borda e o link de internet. Você cria profiles de tráfego
para seus serviços, além disso, ele mesmo "aprende" o que é o tráfego
normal. A filtragem deste é bem mais precisa.

Há a possibilidade de fazer o Pravail sinalizar (cloud signaling) para o
PeakFlow casos de ataques volumétricos para que este os bloqueie na
operadora.

Existem algumas operadores que já ofertam o link com a proteação do
PeakFlow. As que conheço são Tim e Telebrás. Se não me engano, a Telefônica
tabmbém.

Att.


2015-06-24 22:23 GMT-03:00 Diego Canton de Brito <diegocdeb at hotmail.com>:

> Boa noite pessoal,
> Tivemos atualmente vários ataques DDoS volumétricos, seja amplificação ou
> ataques UDP em portas nada haver como 80; Assim gostaria de avaliar quais
> possíveis soluções poderíamos adotar para ajudar a mitigar esses ataques.
> Agora o que temos no cenário.
> 1) Trabalho em um AS que provê trânsito IP para outros provedores menores
> da região e links dedicados. 2) Tivemos ataques a IPs de clientes diretos
> que podíamos colocar em BH sem representar muitos problemas. Aqui o BH
> serviu bem a seu propósito.3) Tivemos recentemente ataques como o citado,
> porta 80 no protocolo UDP, com 800kpps, o roteador BGP que recebeu o
> tráfego suportou bem, porém o trafego foi superior a 3Gbps e isso esgotou o
> que temos de banda nesta borda, o destino era um cliente de trânsito IP,
> detentor de um datacenter e colocar o IP em BH se mostrou um problema nesse
> caso. O cliente não quer que o IP fique em BH, mas quer que o trafego seja
> filtrado por nós, entregue apenas o válido, também afirma que se está
> esgotando nossa banda temos que exigir do nosso upstream que realize o
> bloqueio também e assim sucessivamente. Não sei se dou ou não razão ao
> cliente.
> Sob essas circunstâncias, orientei o cliente que o que temos hoje é apenas
> o BH, que estaria avaliando outras soluções, além de orienta-lo que ao meu
> conhecimento soluções de proteção DDoS volumétricos são geralmente
> contratado pelo cliente final, detentor do IP, seriam soluções como as CDNs
> da Akamai, CloudFlare e outros.
> Então estou em busca do que podemos fazer para nos proteger e se possível
> proteger os clientes, avaliar os custos e assim poder apresentar as
> possibilidades de solução ao pessoal aqui.
> Andei vendo sobre a Arbor, mas não me ficou claro nas apresentações que vi
> se serviria para nós, pois todo material parece ser para o usuário final do
> IP ou AS detentor do IP. Ou ainda não solucionaria meu problema de
> esgotamento da capacidade de banda nas minhas bordas.
> Não sei se outros como Algar, Vivo, Internexa, G8, MinasMais, Unotel e etc
> teriam/usariam algo como o que procuro, no nosso caso, se a Algar possuir
> já me ajudaria muito poder contratar o serviço para nossa borda com eles ou
> saber o que eles usam para que possamos tentar implementar algo com seus
> fornecedores.
> Acho que deu para entender nossa situação e o que procuro.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>