Responder com citação
Senhores,
Sejamos realistas: ataque DDoS NÃO se previne, apenas se combate e ainda sim, em muitos casos, este combate é apenas para diminuir o impacto.
Atualmente, a maioria dos ataques de negação de serviço antes de conseguir afetar seu equipamento, afeta seu link saturando-o rapidamente, e aí, não existe tuning de registro de S.O. que dê jeito.
A única solução é que o ataque seja contido dentro da infra do seu ISP. Porém quando o ataque DDoS é bem feito, onde a origem ou está bem spoofada ou é oriunda de uma grande BOTNET, o bloqueio pela origem é praticamente impossível. Neste caso, a única solução possível é o bloqueio pelo destino.
E numa situação como a descrita acima, ainda existem duas possibilidades:
1) Caso os pacotes do ataque sejam em um protocolo ou uma porta de destino específica e estes são diferentes do serviço que está rodando no IP atacado, o bloqueio no ISP pode até ser efetivo, criando-se uma lista de acesso bloqueando os pacotes destinados ao IP atacado, porém apenas no protocolo e na porta destino dos pacotes de ataque.
2) Porém se o ataque for em portas aleatórias ou a porta de destino dos pacotes de ataque for a mesma do serviço que está rodando no endereço atacado, aí sim você tem um grande problema. Nesta situação você tem o seguinte quadro: seu link está saturado, devido ao ataque, ou seja, você está praticamente todo parado e não é possível bloquear apenas os pacotes de ataque. Numa catástrofe como esta, o único jeito é que seu ISP bloqueie o seu próprio IP, assim seu link "desafogará", porém o IP atacado ficará fora e seu serviço que está rodando nele parado. Visualizando pelo lado positivo:antes apenas um serviço fora do que tudo parado.
O pior de tudo é que se você tiver que ligar para seu ISP para pedir este bloqueio, você ainda terá que enfrentar o tempo de demora do atendimento do ISP para passar para alguém que consiga fazer este tipo de bloqueio. e normalmente, como o padrão de qualidade de atendimento dos ISPs aqui no Brasil não é nada satisfatório, você muitas vezes enfrenta algumas horas até chegar na pessoa que resolva e esse tempo todo parado já te custaram alguns milhares/milhões.
Toda essa historinha triste é na verdade para falar de uma medida de contorno que ainda não tinha lido aqui neste tópico: a community de BlackHole do BGP, que é para contornar casos da situação #2 sem precisar da intervenção manual do seu ISP.
Sem entrar em muitos detalhes do funcionamento de BGP (que não é o foco agora), apesar de a community não ser um atributo transitivo obrigatório do BGP, a community de BlackHole (RFC 5635) é combinada com seu ISP dentro das suas políticas de roteamento, para quando você está sendo atacado e tem condições de identificar qual(ais) IP(s) seu está(ão) recebendo este ataque, você faz o anúncio BGP deste(s) IP(s) no BGP com esta community de BlackHole e seu ISP ao receber um anúncio com esta community, altera o next-hop do prefixo anunciado, para a Null0 de seu equipamento. Desta forma você contém o ataque (na infra do seu ISP) e ainda tem o controle para bloquear e desbloquear o IP atacado.
Se alguém tiver alguma dúvida, ou quiser corrigir alguma bobagem que eu possa ter escrito, fiquem à vontade.
[]'s
BH
Originalmente enviado por PreventDdos
