[caiu] Ataque DoS DNS

DexCript Techs dexcript em gmail.com
Segunda Novembro 25 16:20:33 BRST 2013


Tivemos um problema semelhante aqui na empresa onde estava chegando tráfego
de diversos end. IPs com porta de origem 53, protocolo UDP com destino um
end. IP de dentro de nossa rede ( simulando tráfego DNS ), fizemos bloqueio
no switch de borda, mas não resolveu pois o ataque ainda estava chegando e
consumindo todo o link, após termos uma conversa bem demorada com o suporte
do DataCenter, colocaram o end. IP que estava sofrendo ataque atrás de um
Peak Flow Arbor onde o mesmo mitigou o problema... claro esse procedimento
foi realizado no backbone...

Resumindo: se ataque estourar o seu link infelizmente não há o bloqueio que
solucione o problema... a não ser blackhole.


2013/11/25 Evandro Maciel <ev.maciel em gmail.com>

> Sim, faça uma address list , chain forward ao inves de input e aceite (ou
> descarte) os pacotes de acordo com a address list.
>
> O ip de origem pode mudar ja que a maioria desses ips são spoofados. No
> caso entao blackhole nao ajudaria muito tempo.
>
> Vc tem a regra básica de dropar pacotes inválidos ?
>
> PS: ficou offtopic, pode me consultar em pvt caso queira.
>
> Att,
> Evandro
>
> Enviado por dispositivo móvel.
>
> Em 25/11/2013, às 15:13, Victor Hugo Rebollo de Moura <
> victorhugormoura em gmail.com> escreveu:
>
> > Já tinha esse filtro. Mais o problema é que o ataque foi nos meus
> clientes
> > e não nos roteadores. Ou seja como src aparecia esse ip:53.
> > Todos os clientes são AirGridM5. E dando um nmap -sU ipdocliente -p 53
> > aparece como open. Será que fazendo o filtro com forward em vez de input
> > resolveria? Apenas negando para os ips que realmente precisam?
> >
> > Enviado via Samsung Galaxy S4
> > Em 25/11/2013 14:54, "Jean Carlos Bartzen" <jean em deltatele.com.br>
> escreveu:
> >
> >> isso resolve, mas se o seu cliente tiver hospedando algum site que
> >> necessita consulta das zonas no servidor dele, será barrada.
> >>
> >>
> >> Em 25 de novembro de 2013 14:45, adeilton albuquerque <
> >> adeilton.info em hotmail.com> escreveu:
> >>
> >>> faz um filtro pra bloquear entrada de DNS pela porta que recebe link,
> em
> >>> todos roteadores que tem ip público:
> >>>
> >>> ip  firewall filter add chain=input protocol=17 dst-port=53
> >>> in-interface="entrada de link" action=drop
> >>>
> >>> Já sofri esse ataque de DNS recursivo aqui tambem e essa foi minha
> >> solução.
> >>>
> >>>> Date: Mon, 25 Nov 2013 14:14:11 -0200
> >>>> From: victorhugormoura em gmail.com
> >>>> To: caiu em eng.registro.br
> >>>> Subject: Re: [caiu] Ataque DoS DNS
> >>>>
> >>>> Mikrotik
> >>>> RB 1100AHx2
> >>>>
> >>>>
> >>>> No dia 25 de Novembro de 2013 às 14:12, adeilton albuquerque <
> >>>> adeilton.info em hotmail.com> escreveu:
> >>>>
> >>>>> Seus servidores são MIKROTIK, ou CISCO ?
> >>>>>
> >>>>>
> >>>>>
> >>>>>
> >>>>>> Date: Mon, 25 Nov 2013 14:01:22 -0200
> >>>>>> From: victorhugormoura em gmail.com
> >>>>>> To: caiu em eng.registro.br
> >>>>>> Subject: [caiu] Ataque DoS DNS
> >>>>>>
> >>>>>> Boa tarde,
> >>>>>>
> >>>>>> Acabei de receber uma ataque do IP 92.63.108.91 no protocolo DNS
> >>> direto
> >>>>> em
> >>>>>> meus clientes, isso fez meus roteadores a consumirem 100% de CPU  e
> >>>>> causar
> >>>>>> um lentidão muito grande na rede.
> >>>>>>
> >>>>>> Fica a dica para quem quiser fazer blackhole.
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> *Victor Hugo R. Moura*
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> *Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified
> >> Network
> >>>>>> AssociateLinux Professional InstituteMikroTik RouterOS Solution*
> >>>>>> *Network Security Consulting*
> >>>>>>
> >>>>>> *+55 18 9 9653-5921 (WhatsApp)*
> >>>>>> *+55 18 9 8179-7100*
> >>>>>>
> >>>>>> *E-Mail 1: victorhugormoura em gmail.com <victorhugormoura em gmail.com
> >>> *
> >>>>>> *(Gtalk)*
> >>>>>> *E-Mail 2: victorh em grootha.com.br <victorh em grootha.com.br>*
> >>>>>>
> >>>>>>
> >>>>>> *E-Mail 3: victorhugo em adastel.com.br <victorhugo em adastel.com.br
> >>>> E-Mail
> >>>>> 4:
> >>>>>> victorh em skynet.com.br <victorh em skynet.com.br>**E-Mail
> >>>>>> 5: victorh em tvcsa.com.br <victorh em tvcsa.com.br>*
> >>>>>>
> >>>>>> *"Tudo é impossível até que se torne possível"*
> >>>>>> _______________________________________________
> >>>>>> caiu mailing list
> >>>>>> caiu em eng.registro.br
> >>>>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>>>
> >>>>>>
> >>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>>>
> >>>>>> https://eng.registro.br/mailman/options/caiu
> >>>>>
> >>>>> _______________________________________________
> >>>>> caiu mailing list
> >>>>> caiu em eng.registro.br
> >>>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>>
> >>>>>
> >>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>>
> >>>>> https://eng.registro.br/mailman/options/caiu
> >>>>
> >>>>
> >>>>
> >>>> --
> >>>>
> >>>> *Victor Hugo R. Moura*
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>> *Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified Network
> >>>> AssociateLinux Professional InstituteMikroTik RouterOS Solution*
> >>>> *Network Security Consulting*
> >>>>
> >>>> *+55 18 9 9653-5921 (WhatsApp)*
> >>>> *+55 18 9 8179-7100*
> >>>>
> >>>> *E-Mail 1: victorhugormoura em gmail.com <victorhugormoura em gmail.com>*
> >>>> *(Gtalk)*
> >>>> *E-Mail 2: victorh em grootha.com.br <victorh em grootha.com.br>*
> >>>>
> >>>>
> >>>> *E-Mail 3: victorhugo em adastel.com.br <victorhugo em adastel.com.br
> >E-Mail
> >>> 4:
> >>>> victorh em skynet.com.br <victorh em skynet.com.br>**E-Mail
> >>>> 5: victorh em tvcsa.com.br <victorh em tvcsa.com.br>*
> >>>>
> >>>> *"Tudo é impossível até que se torne possível"*
> >>>> _______________________________________________
> >>>> caiu mailing list
> >>>> caiu em eng.registro.br
> >>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>
> >>>>
> >>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>
> >>>> https://eng.registro.br/mailman/options/caiu
> >>>
> >>> _______________________________________________
> >>> caiu mailing list
> >>> caiu em eng.registro.br
> >>> https://eng.registro.br/mailman/listinfo/caiu
> >>>
> >>>
> >>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>
> >>> https://eng.registro.br/mailman/options/caiu
> >>
> >>
> >>
> >> --
> >>
> >>
> >> *Jean Carlos Bartzen*
> >>
> >> *Delta Telecomunicações LtdaAv. Gov. Moises Lupion, 114 SL1*
> >> F: (45) 3241-1747
> >> *www.deltatele.com.br <http://www.deltatele.com.br>*
> >>
> >>
> >>
> >> *Esta mensagem e qualquer arquivo transmitido anexo, pode
> >> conter informação confidencial e/ou legalmente privilegiada.
> >> Esta informação é direcionada exclusivamente ao destinatário.
> >> Se você não for o destinatário ou a pessoa autorizada a receber esta
> >> mensagem, não podera utilizar, revelar, copiar, distribuir, ou tomar
> >> qualquer ação baseada no conteúdo dessa informação, por ser estritamente
> >> proibido. Se você recebeu esta mensagem por engano, por favor, avise
> >> imediatamente o remetente respondendo o e-mail e em seguida apague a
> >> mensagem. *
> >> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


More information about the caiu mailing list