[GTER] Ataques entrando pelo PTT-SPO com origem ASN 6939 ( HE )

Rafael Ganascim rganascim at gmail.com
Fri Jul 8 17:43:37 -03 2016 

O problema é eleger um único sistema onde todos vão se inscrever. Só
forçando um mesmo.


Pense comigo em um cenário hipotético. Não sou dono da melhor idéia (longe
disto), estou apenas discutindo possíveis soluções para o problema em
comum.


Como poderia ser feito o bloqueio do meu(s) ip(s) atacado(s) pelo nic.br em
todo o PTT de forma transparente (sem qualquer configuração de outros
players)?

1) envio a rota para o BH do nic.br

Previamente me inscrevi no BH do nic.br (e autorizei e foram validados que
os prefixos são meus).


2) O nic.br aceita meu prefixo de BH, muda o next-hop para um IP da mesma
rede do PTT (ex 187.16.216.xxx) e envia para os participantes a rota de
blackhole (no RS normal)

O IP 187.16.216.xxx pertence ao nic.br, e tem o mac-address
66-66-66-66-66-66 e responde a requisições ARP.

Basta então nos switches L2/roteadores do NIC.br que ligam os participantes
um filtro L2  na entrada:
deny from any to mac 66-66-66-66-66-66
permit from any to any

*claro que existe o filtro de origem do PTT

O drop então seria no primeiro ponto de entrada do PTT.


Quem não quer participar do blackhole do PTT, não participa (não popula as
tabelas). Porém, quem quer se proteger, protege-se.

Claro que existem ainda outros aspectos, como por exemplo, o aceite das
rotas /32, a administração de tal serviço, o uso por grande parte dos
participantes, etc.


Mas duvido que quem sofreu um ataque recentemente não pensa em se proteger
neste ponto.





Em 8 de julho de 2016 15:48, Francisco V Brasileiro <
francisco at brasileiro.adm.br> escreveu:

> Em 8 de jul de 2016 10:18, "Rafael Ganascim" <rganascim at gmail.com>
> escreveu:
>
>
> > QUEM SABE um serviço gerido pelo nic.br de blackhole, onde os
> interessados
> > sobem uma sessão com um 'blackhole server' e então podem marcar a
> > comunidade de BH em seus /32 e os participantes deste grupo se
> comprometem
> > em dropar os pacotes destinados a este prefixo BH.
>
> Isso não seria criar um novo serviço igual UTRS que você citou?
>
> O problema que vejo nesse tipo de serviço é a adesão dos players a ele. Se
> houvesse boa adesão, não precisaria criar um novo serviço.
>
> A solução seria a adesão compulsória ao serviço a ser criado pelo próprio
> nic.br. Mas a pergunta é: precisa realmente de um novo serviço, sendo q já
> existem vários no mercado, bastaria aderir?
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list