[GTER] Sistema de detecção de ataques de DDOS

Douglas Fischer fischerdouglas at gmail.com
Wed Oct 7 15:10:36 -03 2015 

| Cache de Whois para filtro de BGP |
| - a oficialização da gambiarra  - |
​
Como o RPKI é realmente uma coisa complicada, e que apesar de já ser
velhinho, não decolou como deveria...​

Pensei numa gambiarra derivada do projeto de cache de whois de um colega de
GTER.

Talvez eu esteja reinventando a roda, mas um mecanismo que valide contra o
nomes_e_números a relação entre Bloco-IP e ASN de uma maneira "seca", sem
certificado e nenhum outro requinte de crueldade pode ser interessante.

Em 7 de outubro de 2015 15:03, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

> ​NÃO EXISTE DDoS SEM SPOOFING!
> Desculpe a caixa alta, mas estou realmente gritando aqui do outro lado...​
>
>
> Tirando os Spoofings, só sobram as zombies(com IP não spooofado)...
> E isso é menos de 1%(ou menos) do volume de um ataque.
>
>
> Para tua rede de clientes(WISP - PPP)
>    Se aplicar ACLs antispoofing bem feitinhas,
>    o resultado já será quase ideal.
>
>
> Para tua rede de clientes(venda de trânsito trânsito)
> Aí a coisa complica...
>  - Feijão-com-arroz_Mode
>    ACLs estáticas antispoofing na entrada das interfaces de cada cliente.
>    Só entra pacotes com IP de origem dos blocos-IP daquele cliente.
>
>    ACLs estáticas antipoofing na saída das interfaces de para teus
> provedores de trânsito.
>    Só sai pacotes com IP de origem dos blocos-IP teus e dos teus clientes.
>
>  - Modo automatizado(Sem gambiarras toscas com scripts)
>    Temos que no mínimo pensar em:
>    uRPF -> https://en.wikipedia.org/wiki/Reverse_path_forwarding
>    E começar a pensar em:
>    ROA  -> https://tools.ietf.org/html/rfc6482
>    RPKI ->
> https://en.wikipedia.org/wiki/Resource_Public_Key_Infrastructure
>
>
>
> Em 7 de outubro de 2015 11:24, Antonio Modesto <modesto at isimples.com.br>
> escreveu:
>
>> Bom dia,
>>
>>
>> Ultimamente tenho percebido que os ataques de DDoS estão cada vez mais
>> frequentes, tanto contra a nossa rede, quanto a partir de clientes da nossa
>> rede. Vejo também vários colegas na lista reportando esse tipo de problema.
>> Tenho pensado numa forma de pelo menos, evitar que esse tipo de ataque se
>> origine na nossa rede. Creio não ser algo tão complexo devido ao fato de a
>> maioria dos ataques mais agressivos utilizarem pacotes UDP em altas taxas
>> de transmissão. Pensei em desenvolver um coletor sFlow que receba amostras
>> de pontos estratégicos da rede e que fique monitore qualquer fluxo anormal
>> e emita algum tipo de alarme. Alguém aqui na lista possui algum mecanismo
>> parecido rodando?
>>
>> --
>> Atenciosamente,
>>
>> Antonio Modesto.
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list