[caiu] Ataque DoS DNS

Victor Hugo Rebollo de Moura victorhugormoura em gmail.com
Segunda Novembro 25 18:41:05 BRST 2013


Tenho um bind como dns cache primário na rede. E o ataque só parou após o
blackhole.

Enviado via Samsung Galaxy S4
Em 25/11/2013 18:28, "DexCript Techs" <dexcript em gmail.com> escreveu:

> Tivemos um problema semelhante aqui na empresa onde estava chegando tráfego
> de diversos end. IPs com porta de origem 53, protocolo UDP com destino um
> end. IP de dentro de nossa rede ( simulando tráfego DNS ), fizemos bloqueio
> no switch de borda, mas não resolveu pois o ataque ainda estava chegando e
> consumindo todo o link, após termos uma conversa bem demorada com o suporte
> do DataCenter, colocaram o end. IP que estava sofrendo ataque atrás de um
> Peak Flow Arbor onde o mesmo mitigou o problema... claro esse procedimento
> foi realizado no backbone...
>
> Resumindo: se ataque estourar o seu link infelizmente não há o bloqueio que
> solucione o problema... a não ser blackhole.
>
>
> 2013/11/25 Evandro Maciel <ev.maciel em gmail.com>
>
> > Sim, faça uma address list , chain forward ao inves de input e aceite (ou
> > descarte) os pacotes de acordo com a address list.
> >
> > O ip de origem pode mudar ja que a maioria desses ips são spoofados. No
> > caso entao blackhole nao ajudaria muito tempo.
> >
> > Vc tem a regra básica de dropar pacotes inválidos ?
> >
> > PS: ficou offtopic, pode me consultar em pvt caso queira.
> >
> > Att,
> > Evandro
> >
> > Enviado por dispositivo móvel.
> >
> > Em 25/11/2013, às 15:13, Victor Hugo Rebollo de Moura <
> > victorhugormoura em gmail.com> escreveu:
> >
> > > Já tinha esse filtro. Mais o problema é que o ataque foi nos meus
> > clientes
> > > e não nos roteadores. Ou seja como src aparecia esse ip:53.
> > > Todos os clientes são AirGridM5. E dando um nmap -sU ipdocliente -p 53
> > > aparece como open. Será que fazendo o filtro com forward em vez de
> input
> > > resolveria? Apenas negando para os ips que realmente precisam?
> > >
> > > Enviado via Samsung Galaxy S4
> > > Em 25/11/2013 14:54, "Jean Carlos Bartzen" <jean em deltatele.com.br>
> > escreveu:
> > >
> > >> isso resolve, mas se o seu cliente tiver hospedando algum site que
> > >> necessita consulta das zonas no servidor dele, será barrada.
> > >>
> > >>
> > >> Em 25 de novembro de 2013 14:45, adeilton albuquerque <
> > >> adeilton.info em hotmail.com> escreveu:
> > >>
> > >>> faz um filtro pra bloquear entrada de DNS pela porta que recebe link,
> > em
> > >>> todos roteadores que tem ip público:
> > >>>
> > >>> ip  firewall filter add chain=input protocol=17 dst-port=53
> > >>> in-interface="entrada de link" action=drop
> > >>>
> > >>> Já sofri esse ataque de DNS recursivo aqui tambem e essa foi minha
> > >> solução.
> > >>>
> > >>>> Date: Mon, 25 Nov 2013 14:14:11 -0200
> > >>>> From: victorhugormoura em gmail.com
> > >>>> To: caiu em eng.registro.br
> > >>>> Subject: Re: [caiu] Ataque DoS DNS
> > >>>>
> > >>>> Mikrotik
> > >>>> RB 1100AHx2
> > >>>>
> > >>>>
> > >>>> No dia 25 de Novembro de 2013 às 14:12, adeilton albuquerque <
> > >>>> adeilton.info em hotmail.com> escreveu:
> > >>>>
> > >>>>> Seus servidores são MIKROTIK, ou CISCO ?
> > >>>>>
> > >>>>>
> > >>>>>
> > >>>>>
> > >>>>>> Date: Mon, 25 Nov 2013 14:01:22 -0200
> > >>>>>> From: victorhugormoura em gmail.com
> > >>>>>> To: caiu em eng.registro.br
> > >>>>>> Subject: [caiu] Ataque DoS DNS
> > >>>>>>
> > >>>>>> Boa tarde,
> > >>>>>>
> > >>>>>> Acabei de receber uma ataque do IP 92.63.108.91 no protocolo DNS
> > >>> direto
> > >>>>> em
> > >>>>>> meus clientes, isso fez meus roteadores a consumirem 100% de CPU
>  e
> > >>>>> causar
> > >>>>>> um lentidão muito grande na rede.
> > >>>>>>
> > >>>>>> Fica a dica para quem quiser fazer blackhole.
> > >>>>>>
> > >>>>>>
> > >>>>>>
> > >>>>>> *Victor Hugo R. Moura*
> > >>>>>>
> > >>>>>>
> > >>>>>>
> > >>>>>>
> > >>>>>>
> > >>>>>> *Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified
> > >> Network
> > >>>>>> AssociateLinux Professional InstituteMikroTik RouterOS Solution*
> > >>>>>> *Network Security Consulting*
> > >>>>>>
> > >>>>>> *+55 18 9 9653-5921 (WhatsApp)*
> > >>>>>> *+55 18 9 8179-7100*
> > >>>>>>
> > >>>>>> *E-Mail 1: victorhugormoura em gmail.com <victorhugormoura em gmail.com
> > >>> *
> > >>>>>> *(Gtalk)*
> > >>>>>> *E-Mail 2: victorh em grootha.com.br <victorh em grootha.com.br>*
> > >>>>>>
> > >>>>>>
> > >>>>>> *E-Mail 3: victorhugo em adastel.com.br <victorhugo em adastel.com.br
> > >>>> E-Mail
> > >>>>> 4:
> > >>>>>> victorh em skynet.com.br <victorh em skynet.com.br>**E-Mail
> > >>>>>> 5: victorh em tvcsa.com.br <victorh em tvcsa.com.br>*
> > >>>>>>
> > >>>>>> *"Tudo é impossível até que se torne possível"*
> > >>>>>> _______________________________________________
> > >>>>>> caiu mailing list
> > >>>>>> caiu em eng.registro.br
> > >>>>>> https://eng.registro.br/mailman/listinfo/caiu
> > >>>>>>
> > >>>>>>
> > >>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>>>>>
> > >>>>>> https://eng.registro.br/mailman/options/caiu
> > >>>>>
> > >>>>> _______________________________________________
> > >>>>> caiu mailing list
> > >>>>> caiu em eng.registro.br
> > >>>>> https://eng.registro.br/mailman/listinfo/caiu
> > >>>>>
> > >>>>>
> > >>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>>>>
> > >>>>> https://eng.registro.br/mailman/options/caiu
> > >>>>
> > >>>>
> > >>>>
> > >>>> --
> > >>>>
> > >>>> *Victor Hugo R. Moura*
> > >>>>
> > >>>>
> > >>>>
> > >>>>
> > >>>>
> > >>>> *Infinity TecnologiaAdm. de Redes e ServidoresCisco Certified
> Network
> > >>>> AssociateLinux Professional InstituteMikroTik RouterOS Solution*
> > >>>> *Network Security Consulting*
> > >>>>
> > >>>> *+55 18 9 9653-5921 (WhatsApp)*
> > >>>> *+55 18 9 8179-7100*
> > >>>>
> > >>>> *E-Mail 1: victorhugormoura em gmail.com <victorhugormoura em gmail.com>*
> > >>>> *(Gtalk)*
> > >>>> *E-Mail 2: victorh em grootha.com.br <victorh em grootha.com.br>*
> > >>>>
> > >>>>
> > >>>> *E-Mail 3: victorhugo em adastel.com.br <victorhugo em adastel.com.br
> > >E-Mail
> > >>> 4:
> > >>>> victorh em skynet.com.br <victorh em skynet.com.br>**E-Mail
> > >>>> 5: victorh em tvcsa.com.br <victorh em tvcsa.com.br>*
> > >>>>
> > >>>> *"Tudo é impossível até que se torne possível"*
> > >>>> _______________________________________________
> > >>>> caiu mailing list
> > >>>> caiu em eng.registro.br
> > >>>> https://eng.registro.br/mailman/listinfo/caiu
> > >>>>
> > >>>>
> > >>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>>>
> > >>>> https://eng.registro.br/mailman/options/caiu
> > >>>
> > >>> _______________________________________________
> > >>> caiu mailing list
> > >>> caiu em eng.registro.br
> > >>> https://eng.registro.br/mailman/listinfo/caiu
> > >>>
> > >>>
> > >>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>>
> > >>> https://eng.registro.br/mailman/options/caiu
> > >>
> > >>
> > >>
> > >> --
> > >>
> > >>
> > >> *Jean Carlos Bartzen*
> > >>
> > >> *Delta Telecomunicações LtdaAv. Gov. Moises Lupion, 114 SL1*
> > >> F: (45) 3241-1747
> > >> *www.deltatele.com.br <http://www.deltatele.com.br>*
> > >>
> > >>
> > >>
> > >> *Esta mensagem e qualquer arquivo transmitido anexo, pode
> > >> conter informação confidencial e/ou legalmente privilegiada.
> > >> Esta informação é direcionada exclusivamente ao destinatário.
> > >> Se você não for o destinatário ou a pessoa autorizada a receber esta
> > >> mensagem, não podera utilizar, revelar, copiar, distribuir, ou tomar
> > >> qualquer ação baseada no conteúdo dessa informação, por ser
> estritamente
> > >> proibido. Se você recebeu esta mensagem por engano, por favor, avise
> > >> imediatamente o remetente respondendo o e-mail e em seguida apague a
> > >> mensagem. *
> > >> _______________________________________________
> > >> caiu mailing list
> > >> caiu em eng.registro.br
> > >> https://eng.registro.br/mailman/listinfo/caiu
> > >>
> > >>
> > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>
> > >> https://eng.registro.br/mailman/options/caiu
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


More information about the caiu mailing list