[MASOCH-L] Ataques de DDoS

Julio Arruda jarruda-gter at jarruda.com
Mon Sep 1 01:20:17 BRT 2008


Victor wrote:
> Caro Rubens,
> 
> Resumindo... não existe solução, apenas dribles. A unica solução seria se 
> TODOS no mundo implementassem algo como o CS3 Reverse Firewall 
> (http://www.cs3-inc.com/rfw.html) que não deixa o ataque sair do Data Center 
> ou borda de link, mas estamos muito longe disso um dia ser realidade. Vamos 
> ver se o pessoal começa a por em pratica o Flow Spec que foi falado na GTER.
> 

O FlowSpec, nas implementacoes que vi, sao "dentro do mesmo dominio", 
isto e', atuando somente dentro de um provedor, e nao ajudaria neste 
caso. Voce pode querer ver com a RNP a implementacao deles, mas um 
problema obvio, depende de ser equipamento Junos.

Claro, se sao de um range de somente 40 IPs de origem, nem precisa da 
algo refinado, qualquer ACL upstream resolve..ou um blackhole + rpf para 
filtrar por origem.

Os produtos que o Rubens descreveu, (disclaimer, trabalho na arbor), 
geralmente sao necessarios quando usam um DDoS com centenas/milhares de 
bots, ataques 'que vao se alterando' e coisas do genero, algo onde voce 
nao consegue 'definir' muito bem o joio e trigo, onde uma 
acl/blackhole/flowspec nao resolvem mesmo..

Agora, existem sim provedores que podem fazer a limpeza de um ataque de 
porte significativo, usando scrubbers de capacidade de N x 1Gbps ou N x 
10Gbps 'dentro da casa deles', e nao no CPE (tecnicamente, Clean Pipes 
tem que ser assim, in-the-cloud, senao nao resolve..)


> 
> ----- Original Message ----- 
> From: "Rubens Kuhl Jr." <rubensk at gmail.com>
> To: "Victor" <victor_volpe at bol.com.br>; "Mail Aid and Succor, On-line 
> Comfort and Help" <masoch-l at eng.registro.br>
> Cc: "Cristina Fernandes Silva" <cristinafs.listas at gmail.com>
> Sent: Monday, September 01, 2008 12:11 AM
> Subject: Re: [MASOCH-L] Ataques de DDoS
> 
> 
>> WAN e consequentemente engargalando o link. Bloquear no backbone da
>> operadora é a solução apenas para o cliente que está atrás dela (como "eu"
>> no caso), pois o ataque continua chegando na borda do link deles.
> 
> É por isso que os bloqueios se fazem atualmente por propagação até
> cada centro de roteamento, bloqueando o mais próximo possível da
> origem.
> 
>> Infelizmente DDoS é um problema gravissímo da Internet e até hoje não 
>> temos
>> nenhuma solução descente, apenas "gatos" como o CISCO Guard que separa o
>> joio do trigo no tráfego do cliente atacado mas mesmo assim consome o link
>> de borda da operadora. É realmente indignante, mas... fazer o que né ?
> 
> Soluções como Cisco Guard e Arbor Peakflow TMS se baseiam na premissa
> de que pode se conduzir o tráfego que está sendo "limpo" sem saturação
> de enlaces; isso é bem válido para enlaces com bastante
> over-provisioning, realidade que é muito comum nas operadoras (ex:
> enlaces de 10G para tráfegos de 1G).
> 



More information about the masoch-l mailing list