Ir para conteúdo
  • Cadastre-se

Opinião sobre o mercado

tadeugomides

Por tadeugomides
em Boteco do Host

Posts Recomendados

rubensk

rubensk

Postado
Postado

Fica uma pergunta na minha cabeça... Quem , de que forma e o qual o interesse em realizar um ataque dessa magnitude?

 

Apesar de quase sempre o alvo ser um dos clientes hospedados, nesse caso parecia algo contra a Eveo mesmo, sugerindo competição empresarial. Mas ainda foi muito coincidente com o início da propaganda política para descartar esse aspecto... 

Link para o comentário
Visitante

Visitante

Postado
Postado

Fica uma pergunta na minha cabeça... Quem , de que forma e o qual o interesse em realizar um ataque dessa magnitude?

 

 

Não tenho suspeitas, não imagino quem fez isso. Porém, com um servidor de 8-10GHz, (Pode ser até um Xeon L5520), 4gb ram, e pelo menos 500Mbps de porta é capaz de fazer isso. Como o ataque utilizado foi o NTP Amplification, e o NTP funciona da seguinte forma:

 

Se você tem um servidor que pode enviar 300-400 mil pacotes por segundo (400Kpps) de 36/38 bytes, e tem uma lista de 25.000 servidores NTP vulneráveis, o que vai acontecer?

 

Você vai spoofar o IP alvo e vai mandar pacote/flood de requisições na porta 19 e 123 desses 25 mil servidores, e o que vai acontecer? Se você tem 25 mil servidores vulneráveis para o ataque, e pode enviar 300Kpps (300K de requisições), você vai fazer um flood de 300 mil pacotes em somente 25 mil IPs (12x mais forte), assim fazendo os 25 mil servidores devolverem um pacote de 4.000 de length (ou até mais) para o seu alvo, podendo causar desde 10Gbit, até mesmo superando a margem dos 180-200Gbit.

 

Então, na teoria, com 1Gbps você pode gerar 180~200Gbps de tráfego.

 

Como o Rubens falou, provavelmente é alguma competição empresarial, algum interesse em um cliente grande específico, etc. 

Link para o comentário
Rocha Neto

Rocha Neto

Postado
Postado

Não tenho suspeitas, não imagino quem fez isso. Porém, com um servidor de 8-10GHz, (Pode ser até um Xeon L5520), 4gb ram, e pelo menos 500Mbps de porta é capaz de fazer isso. Como o ataque utilizado foi o NTP Amplification, e o NTP funciona da seguinte forma:

 

Se você tem um servidor que pode enviar 300-400 mil pacotes por segundo (400Kpps) de 36/38 bytes, e tem uma lista de 25.000 servidores NTP vulneráveis, o que vai acontecer?

 

Você vai spoofar o IP alvo e vai mandar pacote/flood de requisições na porta 19 e 123 desses 25 mil servidores, e o que vai acontecer? Se você tem 25 mil servidores vulneráveis para o ataque, e pode enviar 300Kpps (300K de requisições), você vai fazer um flood de 300 mil pacotes em somente 25 mil IPs (12x mais forte), assim fazendo os 25 mil servidores devolverem um pacote de 4.000 de length (ou até mais) para o seu alvo, podendo causar desde 10Gbit, até mesmo superando a margem dos 180-200Gbit.

 

Então, na teoria, com 1Gbps você pode gerar 180~200Gbps de tráfego.

 

Como o Rubens falou, provavelmente é alguma competição empresarial, algum interesse em um cliente grande específico, etc. 

E como se proteger disso? Pelo que você disse, é fácil originar um ataque assim. Um L5520 4GB e 500Mbps pode gerar isso.

Link para o comentário
Visitante

Visitante

Postado
Postado

E como se proteger disso? Pelo que você disse, é fácil originar um ataque assim. Um L5520 4GB e 500Mbps pode gerar isso.

 

Aqui o ambiente é destinado somente a isso... São 200Gbps de conectividade por datacenter (3 POPS = 3 DCs), uma infraestrutura edge (Junipers MX480) são capazes de mitigar ataques volumetricos, como o NTPv2. Assim que tudo for concluído, vamos postar uma "Brochure" e uma "Case study" pro pessoal dar uma olhada, nisso já podemos falar sobre a infra, os custos do ataque, e como mitigamos.

 

 

Então... Com esses 3 datacenters, nós temos BGP Anycast, onde podemos passar o tráfego da Europa / Oriente medio por Amsterdam. O Tráfego da costa oeste/asia por LAX (Los Angeles), e região Sul/leste por NYC, assim podendo dividir a carga dos ataques. 

Link para o comentário
Rocha Neto

Rocha Neto

Postado
Postado

Aqui o ambiente é destinado somente a isso... São 200Gbps de conectividade por datacenter (3 POPS = 3 DCs), uma infraestrutura edge (Junipers MX480) são capazes de mitigar ataques volumetricos, como o NTPv2. Assim que tudo for concluído, vamos postar uma "Brochure" e uma "Case study" pro pessoal dar uma olhada, nisso já podemos falar sobre a infra, os custos do ataque, e como mitigamos.

 

Demorei um pouco a entender. Acho que consegui, ou não. heheheh

 

Esse ambiente foi desenhado agora (por vcs da carbon). Por isso o ataque foi recebido com sucesso. É isso? A partir de agora com esse cenário de 200gbps nos 3 pops/dcs e o edge Junipers, ele conseguirá mitigar ataque dessa natureza.

Link para o comentário
Visitante

Visitante

Postado
Postado

Boa pergunta! 

 

 

Eles pretendem ficar com este ambiente ativo ou pretendem desativar assim que o ataque parar?

 

Se vão ficar, nós não sabemos, mas não fechamos contratos por tempo "indeterminado". Sempre especificamos o contrato, se é de 12, 24, 36 meses.

 

Demorei um pouco a entender. Acho que consegui, ou não. heheheh

 

Esse ambiente foi desenhado agora (por vcs da carbon). Por isso o ataque foi recebido com sucesso. É isso? A partir de agora com esse cenário de 200gbps nos 3 pops/dcs e o edge Junipers, ele conseguirá mitigar ataque dessa natureza.

Já recebemos ataques maiores (Recorde de 187Gbps). Resumindo: Cada POP (Ponto de presença) serve para diminuir a latência, dividir a carga do ataque/tráfego, assim dependendo da sua região, você vai conseguir chegar até eles pela menor rota possível.

Link para o comentário
Visitante

Visitante

Postado
Postado

E a serverloft? Eles tem que tipo de proteção com vocês? É inferior, igual ou superior ao que esta sendo feito pra EVEO?  Quem tem proteção melhor das duas?

 

A mesma, porém, a serverloft tem um ambiente mais forte. Já a serverloft, nós não limitamos o DDoS Mitigation, então, se receber 200Gbps, iremos mitigar. 

 

Não tem como específicar quem tem a proteção mais forte, e nem posso dizer o plano/magnitude suportado por ambas, até porque o mecanismo que detecta e bloqueia os ataques são os mesmos. Mas por padrão, como são clientes corporativos, nós definimos um valor máximo específico onde pode receber ataques 24/7/365 dentro desse limite, mas podemos mitigar qualquer magnitude por até 36 horas, a menos que você pague pela porta dedicada com a gente, então, o valor começa a ser BEEEEEEEEEEEEM salgado, pois o cliente paga pela banda/porta commit.

Link para o comentário
Visitante
Este tópico está impedido de receber novos posts.
Ir para a lista de tópicos

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...

Informação Importante

Concorda com os nossos termos?

  I accept