[caiu] ATAQUE
Eduardo Ascenço Reis
eduardo em intron.com.br
Quinta Fevereiro 27 23:04:30 BRT 2014
Olá Raphael,
Em 27 de fevereiro de 2014 14:34, Raphael Cunha <rc.288vdg at gmail.com> escreveu:
> São em media 1.000.000 de pacotes passando nesse momento na interface , meu
> 6500 não suportou ontem o trafego muito menos um RSPAN e tivemos que migrar
> todas as interfaces para o 7200.
Como você trabalha com equipamentos Cisco, já dispõem de um recurso
muito bom para te ajudar a identificar os fluxos em casos de ataques,
que é o Netflow.
Basta habilitar "ip route-cache flow" em todas as interfaces
envolvidas e fazer consultas em busca de entradas com muitos pacotes,
algo como:
"show ip cache flow | include K"
ou
"show ip cache flow | include M"
Não é necessário habilitar as agregações de informações do Netflow e
nem o redirecionamento, para não sobrecarregar o seu equipamento. No
futuro recomendo o redirecionamento para um coletor e a análise
externa ao roteador.
Ou mesmo utilizar o "show ip flow top-talkers".
Segue algumas URL de apoio:
A Cisco Guide to Defending Against Distributed Denial of Service Attacks
http://www.cisco.com/web/about/security/intelligence/guide_ddos_defense.html
Configuring NetFlow Top Talkers using Cisco IOS CLI Commands or SNMP Commands
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/netflow/configuration/12-4t/nf-12-4t-book/cfg-nflow-top-talk.html
Configuring NetFlow
http://www.cisco.com/c/en/us/td/docs/ios/12_2/switch/configuration/guide/fswtch_c/xcfnfc.html
> Pedi para nosso peering de internet nos ajudar se possível aplicando
> filtros, já que eles devem dispor de equipamentos preparados para essa
> demanda.
Se ele suportar communities BGP, sugiro uma análise da apresentação:
BGP no bloqueio de DoS Flood
ftp://ftp.registro.br/pub/gter/gter18/03-bgp-bloqueio-dos-flood.ear.pdf
Abraços e boa sorte,
Eduardo Ascenço Reis
More information about the caiu
mailing list