[GTER] Pedido de ajuda para ataque DDOS
Tukso Antartiko
tukso.antartiko at gmail.com
Fri Sep 12 01:42:13 -03 2008
Antes de tudo esta configuração funcionava estável há quanto tempo?
Pergunto isso pois nos casos que o registro.br fornece ASN e /20 para
pequenos provedores, que acham que tal será o santo graal, muitos
deles se surpreendem com a nova configuração ao ver que o tráfego
basal deles (scan e outros ataques), antes inofensivo, se multiplicou
na mesma proporção que a quantidade de IPs globais que receberam em
relação ao que tinham anteriormente, e agora ocupa uma proporção
significativa da sua diminuta banda.
Outro motivo é que me parece estranho seu hardware estar
sobrecarregado quando diz que o ataque não chega a usar toda a banda
de 6mbps. Me parece que ele já estava no limite. Se alguém usar o
mesmo equipamento para fazer BGP, NAT, filtragem, , ... basta um
espirro para o castelo de cartas cair. Tente deixá-lo fazendo o mínimo
possível tentando passar as demais atividades para PCs ou outros
hardwares especializados.
Relacionado a isso foi questionado o uso de BGP full. Neste caso não
vejo utilidade, só se fosse para filtrar alguns IPs inválidos (que não
constam nem na tabela de roteamento) antes de chegarem ao destino, mas
como seu hardware está sobrecarregado... Por mim faria-se o contrário,
enquanto o roteador está sobrecarregado, coloca-se apenas uma rota
default para diminuir ao máximo o trabalho do mesmo.
Mas mesmo assim duvido que o problema seja apenas no hardware e mesmo
que não seja no futuro o problema pode ser esgotamento de banda.
Altamente provável diante da banda do provedor.
Para uma solução mais definitiva é essencial identificar o destino do
ataque. Você pode fazer isso de forma mais elegante analisando os
pacotes através de uma trap, ou com a técnica do blackhole, dividindo
seus anúncios em uma pesquisa binária: primeiro anuncie um /21 e não
anuncie outro, se o ataque parar ele é destinado ao bloco não
anunciado, e vá dividindo até chegar em /24, quando precisará fazer o
blackhole usando a community específica.
Eu poderia citar algumas formas de limpeza, a ser realizada por outras
operadoras ou provedores, que precisariam contar com a colaboração da
sua operadora atual no entanto não concordo que uma operadora que tem,
proporcionalmente, um grande quantidade de pequenos provedores não
disponibilize, nem como serviço extra, proteção de DOS. É evidente que
estes provedores pequenos não aguentarão o primeiro DDOS que sofrerem
e dificilmente terão capacidade de solucioná-los, a operadora devia
estar mais preparada para isso, a não ser que estejam querendo se
desfazer de consumidores.
Agora para todos os provedores pequenos que estiverem ouvindo: se
conseguirem que o ataque pare ao pedir que a operadora não anuncie
mais para o exterior, pode-se configurar um squid em algum datacenter
nacional (que ofereça tráfego up/down balanceado e pré-definido em
mbps, portanto sem excesso de consumo) e cascatear com seu squid
local. Localmente você pode ter dois serviços squids, configurando no
seu roteador local para os IPs brasileiros serem direcionados para um
deles, e os outros serem redirecionados para o outro squid
(cascateado). Se desconfiar das qualidades do squid pode configurá-lo
para apenas repassar os pacotes (sem fazer cache). Com isso seus
serviços de acesso à web não são afetados. O custo não é proibitivo, o
UOL host por exemplo anuncia 4mbps a preços módicos (embora eu nunca
tenha usado para saber, por exemplo, se o up/down é igual), mas há o
problema do tempo de deploy e configuração do servidor, que pode ser
inaceitável.
Para outros serviços pode se fazer o mesmo, uma espécie de tunnel, ou
transferí-los em definitivo para um datacenter capaz de lidar com
DDOS.
On 9/11/08, Gustavo Figueira <guxtavo at gmail.com> wrote:
> A Intelig me fornece a ultima milha. Somos muito pequenos e não estamos
> ligado a nenhum ptt.
>
> Nosso roteador é um Cisco 3640. Quando o ataque ocorre nosso roteador fica
> com CPU 100%.
>
> Para parar o ataque a Intelig bloqueia todo tráfego vindo dos peerings
> internacionais com destino as nossas redes. Mas assim não conseguimos
> acessar nada fora.
>
> Ats,
>
> Gustavo
>
> 2008/9/11 Rubens Kuhl Jr. <rubensk at gmail.com>
>
>> Gustavo,
>>
>> Você está na proximidade de algum ponto de troca de tráfego onde seria
>> mais simples ativar alguma solução de contingência ou definitiva para
>> o problema ?
>>
>>
>> Rubens
>>
>>
>> 2008/9/10 Gustavo Figueira <guxtavo at gmail.com>:
>> > Senhores,
>> >
>> > Estamos sofrendo ataque de DDoS (provenientes de IPs "spoofados" e
>> pacotes
>> > com CRC inválidos) desde ás 19:00 horas do dia 05 de setembro.
>> >
>> > *Em diversos contatos com a Intelig temos solicitados insistentemente
>> > que
>> a
>> > mesma identifique a proveniência destes pacotes e entre em contato com
>> > os
>> > PEERINGs de forma a identificarmos a origem dos pacotes*.
>> >
>> > Ate mesmo um pedido feito para relatar o que estava ocorrendo e com as
>> > medidas tomadas (para apresentação a Delegacia e repasse aos nossos
>> > clientes) foi negado.
>> >
>> > A Intelig alega que não é responsabilidade dela realizar tal tarefa, o
>> que
>> > entendemos ser incorreto, pois não sendo possível (a identificação de
>> origem
>> > e contato com os *Peerings*) ser realizado por nossa empresa, podemos
>> contar
>> > unicamente com as iniciativas da Intelig.
>> >
>> > Somos um provedor de internet com uma conexão de 6 Mbbs com a Intelig e,
>> > estamos sem poder atender adequadamente nossos clientes por conta deste
>> > ataque e a própria inércia da Intelig que até o momento se prestou
>> > apenas
>> a
>> > bloquear o tráfego dos IPs atacados (DNS, MX, outros e um /24 inteiro).
>> >
>> > Estamos sendo atendidos pela Intelig em todos os nossos contatos, mas
>> > sem
>> > nenhuma ação eficaz.
>> >
>> > Pedimos apoio ou recomendações para tentar chegar a fonte de origem dos
>> > ataques e voltarmos ao nosso cotidiano, pois do contrario estamos
>> condenados
>> > a fechar a nossa empresa.
>> > Se qualquer um puder ajudar eu agradeço.
>> >
>> > Ats,
>> >
>> > Gustavo
>> > --
>> > gter list https://eng.registro.br/mailman/listinfo/gter
>> >
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list