[GTER] DDoS - Protecao para fornecedores de Transito IP

Wilson R Lopes wilsonlopes00 at gmail.com
Sun Jun 28 19:49:59 -03 2015 

Boa noite senhores,


o serviço de clean pipe das operadoras no BR que eu conheço funcionam
bem e tem alta capacidade de mitigação devido a infra distribuida,
que pode "limpar" por exemplo parte do ataque em cleaning centers já
na entrada do seu backbone nos EUA e parte em cleaning centers
distribuidos no seu backbone no BR.

Uma coisa que faz muita diferença é a interação do cliente com a
operadora, deixando a operadora conhecer os serviços que cada ip/bloco
da sua rede serve e também o cliente indicar quais mitigações podem
ser aplicadas como templates para agilizar no bloqueio do ataque.

A mitigação sempre deve ser o mais "proativa" possível, por exemplo,
dropando todo o tráfego udp para um determinado ip ou bloco quando um
ataque começa, se neste ip ou bloco você não tem nenhum serviço udp.
Caso contrário o ataque pode começar com amplificação ntp, depois
entra ssdp, dns, snmp etc, e neste tempo em que fica-se adicionando os
filtros apenas depois de detectado o ataque, seus uplinks estarão
saturados. Acredito que por isso alguns clientes de clean pipe podem
ter uma má impressão do serviço.


Abs.
Wilson.

Em 27 de junho de 2015 12:00, Rodrigo Cesine Soave
<rodrigo.cesine at gmail.com> escreveu:
> Um único ataque de 400 é ddos. Se é distribuído vem de vários pontos onde
> consigo identificar de onde vem a porrada e uso os TMS Arbor para mitigar.
> Distribuo a carga em meus centros de limpeza. Aí dependendo de quanto a
> operadora tem de capacidade de limpeza.
> Em 27/06/2015 09:31, "Rubens Kuhl" <rubensk at gmail.com> escreveu:
>
>> 2015-06-27 9:05 GMT-03:00 Rodrigo Cesine Soave <rodrigo.cesine at gmail.com>:
>>
>> > Rubens, mesmo o maior equipamento da Arbor tendo a capacidade de 40
>> gigas,
>> > pode se implementar uma solução distribuída e configurada em grupos,
>> > dividindo a carga de mitigação. Trabalhei em operadora e hoje trabalho no
>> > maior integrador Arbor, onde fomos responsáveis por todos os projetos em
>> > todas as operadoras. Posso garantir que elas tem os equipamentos de 40
>> > gigas distribuídos que qualificam sim em centenas de gigas.
>> >
>>
>> Isso significa poder mitigar ataques simultâneos a vários clientes, mas não
>> contra um único cliente tomando um único ataque de 400 Gbps.
>> E as operadoras terem equipamentos com capacidade de 40G ao invés de 10G
>> ainda não bate com relatos de quem tem levado ataques...
>>
>> Rubens
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list