BGP no Bloqueio de DoS Flood
Eduardo Ascenço Reis
<eduardo@intron.com.br>
<eduardo.reis@comdominio.com.br>
<bgp@comdominio.com.br>

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004

1/41

Agenda

Definição da Abordagem do Trabalho
Caracterização de Ataques DoS/DDoS
Caracterização do Efeito de Flood
Identificação do Evento de Ataque
Definição do Modelo
Bloqueio utilizando BGP Communities para Black Hole
Bloqueio utilizando Black Hole Route−Server no ISP
Ataque por Múltiplas Entradas
Caso de Pontos de Troca de Tráfego (PTT/NAP)
Abordagem Alternativa de Proteção (SinkHole)
Estudo de Caso
Demonstração de Bloqueio
Pontos Extras
Referências
GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004

2/41

Definição da Abordagem do Trabalho

Este trabalho abordará formas de tratamento do efeito de Flood ou inundação, que se caracteriza por alto tráfego de entrada em ataques de DoS (Deny of Service).

Esse efeito é um problema normalmente enfrentado por muitos provedores de serviço Internet (Provedores de Acesso,
Backbone, Serviços, Operadoras, Data Centers, etc).

O foco do trabalho será na infra−estrutura lógica de rede
(BackBone) das empresas afetadas por ataques desse tipo e não exatamente na parte de segurança relacionada ao DoS.

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004

3/41

Caracterização de Ataques DoS/DDoS (1/3)

Objetivo: indisponibilizar um serviço aberto na Internet
(HTTPd, SMTPd, etc)

Motivo: spam, concorrente (LAN house), ex−funcionário
(implanta IRCd), etc

Origem: Uma (DoS − Deny of Service) ou
Muitas (DDoS −Distributed Deny of Service)

GTER18 − BGP no Bloqueio de DoS Flood − ear − 04 Out 2004

4/41

Caracterização de Ataques DoS/DDoS (2/3)

Endereços IP de Origem

Tipo
1

Característica
Público Real

Observação
Fácil Rastreamento

2

Privado / Loopback

Poderia ter sido bloqueado na origem
(política anti−spoofing)

3

Público Forjado

Mais comum e de difícil rastreamento Número de Endereços
IP Envolvidos

Tipo
1
2
3