[GTER] RES: DDoS DNS Reflection attack

Diorges Rocha - Radionet Telecom diorges at radionet.net.br
Wed Jun 29 11:45:06 -03 2016 

E o pessoal que é responsável por ele no Brasil, da uma semana de teste,
não custa nada testar pra ver se vai ajudar ou até mesmo resolver.

Em 29 de junho de 2016 10:43, Diorges Rocha - Radionet Telecom <
diorges at radionet.net.br> escreveu:

> Acredito que por ser um serviço barato e muito bom, acho que a grande
> maioria usa.
>
> Em 29 de junho de 2016 09:20, Uesley Correa <uesleycorrea at gmail.com>
> escreveu:
>
>> Só precisa saber se TIWS, Algar, G8 e etc usam SafeBGP.
>>
>> Att,
>>
>> Uesley Corrêa - Analista de Telecomunicações
>> Instrutor Oficial UBNT UBRSS, UBRSA, UBWS & UBWA
>>
>> Em 29 de junho de 2016 09:10, João de Sousa <joaodesousa at gmail.com>
>> escreveu:
>>
>> > Bom dia.
>> >
>> > Sabem me dizer o endereço do SafeBGP ? Procurei no google e não achei...
>> >
>> > Obrigado,
>> >
>> > Att.,
>> >
>> > João de Sousa
>> >
>> > -----Mensagem original-----
>> > De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Uesley Correa
>> > Enviada em: terça-feira, 28 de junho de 2016 19:33
>> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
>> > gter at eng.registro.br>
>> > Assunto: Re: [GTER] DDoS DNS Reflection attack
>> >
>> > Alexandre,
>> >
>> > Mas BlackLayer e SafeBGP são produtos diferentes. SafeBGP é tipo "cymru"
>> > só que no Brasil, só trabalha com rotas mesmo. Não limpa tráfego como a
>> > BlackLayer.
>> >
>> > Att,
>> >
>> > Uesley Corrêa - Analista de Telecomunicações Instrutor Oficial UBNT
>> UBRSS,
>> > UBRSA, UBWS & UBWA
>> >
>> > Em 28 de junho de 2016 15:00, Alexandre J. Correa (Onda) <
>> > alexandre at onda.net.br> escreveu:
>> >
>> > > Uesley, funciona sim...
>> > >
>> > > Estamos sendo protegidos pela BlackLayer !!
>> > >
>> > > Eles mitigam o ataque e nos devolvem o trafego limpo, eh o que esta
>> > > nos mantendo online pois os ataques ainda continuam....
>> > >
>> > >
>> > >
>> > > Em 28/06/2016 07:44, Uesley Correa escreveu:
>> > >
>> > >> Diorges,
>> > >>
>> > >> Acho que não. O ataque chega, e se é em UDP (não precisa de
>> > >> confirmação do pacote), é bem mais complicada a mitigação, e tem que
>> > >> ser feita nos intermédios. O problema do DDoS é que com a fonte
>> > >> mudando, e possivelmente spoofada, lasca o bagulho de vez.
>> > >>
>> > >> Att,
>> > >>
>> > >> Uesley Corrêa - Analista de Telecomunicações Instrutor Oficial UBNT
>> > >> UBRSS, UBRSA, UBWS & UBWA
>> > >>
>> > >> Em 27 de junho de 2016 23:12, Diorges Rocha <diorgesl at gmail.com>
>> > >> escreveu:
>> > >>
>> > >> SafeBGP não resolveria esse ataque?
>> > >>> Em 27 de jun de 2016 6:26 PM, "Elizandro Pacheco [ Pacheco
>> Tecnologia
>> > ]"
>> > >>> <
>> > >>> elizandro at pachecotecnologia.net> escreveu:
>> > >>>
>> > >>> Eu falei sobre isso, e cuidados extremamente básicos que os
>> > >>> provedores
>> > >>>> deveriam tomar na GTER-40.
>> > >>>>
>> > >>>> Tem número, de dns, ssdp, ntp..  e eles são realmente assustadores.
>> > >>>>
>> > >>>> Segue:
>> > >>>>
>> > >>>> DNS + SSDP + NTP Prevenção é a melhor solução <
>> > >>>>
>> > >>>>
>> > >>>
>> https://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&c
>> > >>> ad=rja&uact=8&ved=0ahUKEwjxg66TmsnNAhWEC5AKHXsJDPoQFgghMAE&url=ftp%3
>> > >>> A%2F%2Fftp.registro.br
>> %2Fpub%2Fgter%2Fgter40%2F01-AmplificacaoNTPSSD
>> > >>> PDNS.pdf&usg=AFQjCNF7FQH3I-8_mECk72eWQ8HT4iIXug&bvm=bv.125596728,d.Y
>> > >>> 2I
>> > >>>
>> > >>>>
>> > >>>> Elizandro Pacheco
>> > >>>>
>> > >>>>
>> > >>>> Em 27 de jun de 2016, à(s) 13:49, Alexandre J. Correa (Onda) <
>> > >>>>>
>> > >>>> alexandre at onda.net.br> escreveu:
>> > >>>>
>> > >>>>> Recebo muito nacional também, amplificado, andei coletando umas
>> > >>>>>
>> > >>>> informações e vários provedores conhecidos possuem problemas de DNS
>> > >>>>
>> > >>> aberto:
>> > >>>
>> > >>>> Optitel
>> > >>>>> Baydenet
>> > >>>>> e varias outras.. havia feito uma lista, acabei perdendo o texto..
>> > >>>>>
>> > >>>>> o ataque mudou para syn-flood com origem spoofada, portas
>> > randomicas..
>> > >>>>>
>> > >>>> e
>> > >>>
>> > >>>> em todo bloco ....
>> > >>>>
>> > >>>>> estamos mitigando .... .. cansado mas esta dando certo..
>> > >>>>>
>> > >>>>> me falaram do staminus.net ... estou verificando (o site do
>> > >>>>> staminus
>> > >>>>>
>> > >>>> estava fora ontem).
>> > >>>>
>> > >>>>>
>> > >>>>> Em 27/06/2016 11:55, Bruno Cesar escreveu:
>> > >>>>>
>> > >>>>>> Alexandre, esse ataque é característico de botnets.
>> > >>>>>>
>> > >>>>>> Pela quantidade de trafego o bloqueio via Firewall ou ACL não
>> > >>>>>> seria efetivo, terá que mitigar esses pacotes nas camadas acima,
>> > >>>>>> dependendo
>> > >>>>>>
>> > >>>>> da(s)
>> > >>>>
>> > >>>>> operadora(s) que esteja utilizando e do impacto no seu ambiente
>> > >>>>>>
>> > >>>>> poderia
>> > >>>
>> > >>>> provisoriamente bloquear trafego internacional até o ataque parar.
>> > >>>>>>
>> > >>>>>> Outra opção é utilizar serviços Anti Ddos de fora, baseados em
>> > >>>>>> Proxy reversos e CDNs, recomendo alguns:
>> > >>>>>>
>> > >>>>>> https://www.hyperfilter.com/
>> > >>>>>> https://www.incapsula.com/
>> > >>>>>>
>> > >>>>>> No Brasil existem algumas empresas também, mas o preço para
>> > >>>>>> trafego mitigado será alto.
>> > >>>>>>
>> > >>>>>> Abs.
>> > >>>>>>
>> > >>>>>> --
>> > >>>>>> Bruno Cesar
>> > >>>>>>
>> > >>>>>>
>> > >>>>>> 2016-06-27 7:39 GMT-03:00 Ricardo Rodrigues <
>> rcr.listas at gmail.com>:
>> > >>>>>>
>> > >>>>>> Bom dia.
>> > >>>>>>>
>> > >>>>>>> Este domínio está sendo usado para amplificação por estar
>> > >>>>>>> assinado
>> > >>>>>>>
>> > >>>>>> com
>> > >>>
>> > >>>> DNSSEC. Não é um domínio malicioso mas está sendo usado para
>> ataque.
>> > >>>>>>>
>> > >>>>>>> Se você é a vítima, e parece ser o seu caso, tem que atuar na
>> > >>>>>>> camada
>> > >>>>>>>
>> > >>>>>> de
>> > >>>
>> > >>>> rede e roteamento. Apenas certifique-se que as consultas DNS não
>> > >>>>>>>
>> > >>>>>> estão
>> > >>>
>> > >>>> partindo de sua rede.
>> > >>>>>>>
>> > >>>>>>> Se seu DNS recursivo estivesse recebendo as consultas DNS por
>> > >>>>>>> esse
>> > >>>>>>>
>> > >>>>>> domínio,
>> > >>>>
>> > >>>>> não seria recomendado fazer drop de todas as consultas pois isso
>> > >>>>> pode
>> > >>>>>>>
>> > >>>>>> gerar
>> > >>>>
>> > >>>>> impacto a algum usuário que efetivamente queira acessar o domínio.
>> > >>>>>>>
>> > >>>>>> Para
>> > >>>
>> > >>>> mitigar ataques de amplificação usando domínios não-maliciosos,
>> > >>>>>>> recomenda-se aplicar rate-limiting devolvendo uma resposta
>> > "truncada"
>> > >>>>>>>
>> > >>>>>> nas
>> > >>>>
>> > >>>>> consultas que passarem o limite definido. Isso dá chance para que
>> > >>>>> um
>> > >>>>>>> usuário fazendo uma consulta legítima consiga acessar o domínio
>> > >>>>>>>
>> > >>>>>> desejado.
>> > >>>>
>> > >>>>> Pode ser um rate-limiting genérico pelo tipo de consulta
>> > >>>>> (geralmente
>> > >>>>>>>
>> > >>>>>> ANY)
>> > >>>>
>> > >>>>> ou específico por nome de domínio ou nome de domínio + tipo de
>> > >>>>>>>
>> > >>>>>> consulta.
>> > >>>>
>> > >>>>> Isso requer que seu DNS recursivo também limite o número de
>> > >>>>> consultas
>> > >>>>>>>
>> > >>>>>> via
>> > >>>>
>> > >>>>> TCP.
>> > >>>>>>>
>> > >>>>>>> Abs,
>> > >>>>>>> Ricardo
>> > >>>>>>>
>> > >>>>>>>
>> > >>>>>>> Em 27 de junho de 2016 05:09, Bruno Cabral
>> > >>>>>>> <bruno at openline.com.br>
>> > >>>>>>> escreveu:
>> > >>>>>>>
>> > >>>>>>> O problema é que ele vai receber o tráfego, para dropar no
>> > >>>>>>> roteador
>> > >>>>>>>>
>> > >>>>>>> dele.
>> > >>>>
>> > >>>>> E presumo 24Gb é bem mais do que ele tem de banda.
>> > >>>>>>>> !3runo
>> > >>>>>>>>
>> > >>>>>>>> --Cursos e Consultoria BGP e OSPF
>> > >>>>>>>>
>> > >>>>>>>> Alexandre,
>> > >>>>>>>>>
>> > >>>>>>>>> Basicamente você pode dropar as consultas aos dns atacados.
>> > >>>>>>>>> Eu uso regras assim:
>> > >>>>>>>>>
>> > >>>>>>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
>> > >>>>>>>>> --hex-string '|05|rd588|03|com|000001|' --to 255 -j DROP -m
>> > >>>>>>>>> comment --comment "DROP A rd588.com"
>> > >>>>>>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
>> > >>>>>>>>> --hex-string '|05|ps780|03|com|000001|' --to 255 -j DROP -m
>> > >>>>>>>>> comment --comment "DROP A ps780.com"
>> > >>>>>>>>>
>> > >>>>>>>>> Note que entre pipes é o contador de caracteres da sequencia.
>> > >>>>>>>>> Exemplo com o seu domínio onda.net.br:
>> > >>>>>>>>>
>> > >>>>>>>>> -m string --algo bm --hex-string
>> '|04|onda|03|net|02|br|000001|'
>> > >>>>>>>>>
>> > >>>>>>>>> 000001 significa consulta consulta "IN A", ou seja, uma
>> > >>>>>>>>> consulta
>> > >>>>>>>>>
>> > >>>>>>>> IPv4.
>> > >>>>
>> > >>>>> Sorte ai.
>> > >>>>>>>>>
>> > >>>>>>>>> Abs,
>> > >>>>>>>>>
>> > >>>>>>>>> --
>> > >>>>>>>>> Eduardo Schoedler
>> > >>>>>>>>>
>> > >>>>>>>> --
>> > >>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> > >>>>>>>>
>> > >>>>>>>> --
>> > >>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> > >>>>>>>
>> > >>>>>>> --
>> > >>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> > >>>>>>
>> > >>>>>
>> > >>>>> --
>> > >>>>> Sds.
>> > >>>>>
>> > >>>>> Alexandre Jeronimo Correa
>> > >>>>> Onda Internet
>> > >>>>> Office: +55 34 3351 3077
>> > >>>>> www.onda.net.br
>> > >>>>>
>> > >>>>> --
>> > >>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> > >>>>>
>> > >>>> --
>> > >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> > >>>>
>> > >>> --
>> > >>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> > >>>
>> > >>> --
>> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
>> > >>
>> > >
>> > >
>> > > --
>> > > Sds.
>> > >
>> > > Alexandre Jeronimo Correa
>> > > Onda Internet
>> > > Office: +55 34 3351 3077
>> > > www.onda.net.br
>> > >
>> > > --
>> > > gter list    https://eng.registro.br/mailman/listinfo/gter
>> > >
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
> --
> Diorges Rocha
> Gerente de TI
>
> Tel.: (67) 3451-4035
> Cel.: (67) 9938-1105
>
> R. Edson Bezerra, 685 - Centro
> Itaporã - MS - Brasil
> CEP 79890-000
>



-- 
Diorges Rocha
Gerente de TI

Tel.: (67) 3451-4035
Cel.: (67) 9938-1105

R. Edson Bezerra, 685 - Centro
Itaporã - MS - Brasil
CEP 79890-000

More information about the gter mailing list