[GTER] Oi barrando ping nos servidores DNS

[Douglas Fischer]

​Literatura eu não sei indicar não...
Mas posso te dar minha opinião:

Uma das origens dessa compulsão pelo bloqueio é o conceito de "proteção por
ob​scuridade".
É o conceito que diz que "se ninguém sabe como funciona, ninguém vai saber
como atacar".
Uma idiotice que leva(e já levou muito) a falhas homéricas de segurança,
principalmente porque os responsáveis começam a se sentir confortáveis
atrás da cortina de fumaça e vão ficando relapsos.


Porém não sou contra o bloqueio!
O que sou a favor é da limitação da quantidade de respostas, e por vários
motivos:
- Banda:
  Querendo ou não, esses pacotes vão comer um tiquinho de banda...
  E de grão em grão a galinha enche o papo.
  Ou "E"stórias de que os NS do Google em SPO chegavam a receber mais de 2
Gbps de ICMP...
- Performance
  Esses pacotes, por mais simples que sejam, também vão ter que ser
processados e respondidos pelo S.O.: Na mesma linha do Grão-em-Grão, isso
pode ajudar a complicar mais ainda a situação de um sistema que esteja na
beira do precipício.


Nesse caso, a adoção de um Rate Limit por origem aplicado em algum elemento
de camada 3 na beira da sua rede é bem vindo.




Em 29 de setembro de 2016 00:41, Fabrício Cabral <fabriciofx at gmail.com>
escreveu:

> Danton,
>
> desculpe a demora em responder!
>
> Você poderia me indicar razões ou literatura que corrobore essa afirmação?
> Pergunto isso porque vários colegas do trabalho afirmam que é melhor
> barrar ICMP e eu sou o único que contesto.
>
> At.te.
>
> 2016-09-24 12:42 GMT-03:00 Danton Nunes <danton.nunes at inexo.com.br>:
>
> > On Sat, 24 Sep 2016, Fabrício Cabral wrote:
> >
> > não sei se acho bom essa cultura de bloquear ICMP. O que será que o
> >> pessoal aqui da GTER acha?
> >>
> >
> > estúpida.
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> --fx
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação