[caiu] Ataques direcionados

Ricardo Rodrigues rcr.listas em ig.com.br
Terça Novembro 11 12:13:16 BRST 2014


Um ataque com apenas 30k consultas DNS por segundo consegue gerar mais de
980 Mbps de tráfego de rede.

Segue uma lista não exaustiva com ações para se proteger:

1. Ter visibilidade do tráfego DNS, identificando domínios mais consultados
para cada tipo de consulta, identificando em tempo real consultas DNS cuja
resposta seja superior a xyz bytes, etc.

2. Fechar os servidores DNS recursivos abertos.

3. Identificar e fechar os chamados "Open DNS Proxies". Há CPE's que
aceitam consultas DNS pela interface WAN (Internet) e são usados nestes
ataques.

4. Usar servidores DNS Autoritativos com funções de rate-limit por domínio
e tipo de consulta, especialmente se você tem domínios assinados com DNSSEC.

5. Usar servidores DNS Cache/Recursivos com funções de rate-limit por
domínio e tipo de consulta, bem como listas dinâmicas automáticas para
mitigação de ataques.

Em suma: usar servidores DNS mais inteligentes.

Disclaimer: trabalho para um vendor DNS. As opiniões aqui postadas são
independentes da empresa.

Abs,
Ricardo


Em 10 de novembro de 2014 20:35, Rodrigo 1telecom <rodrigo at 1telecom.com.br>
escreveu:

> Aqui em sua maioria foram destinados a servidores de dns, a clientes mesmo
> diretos( acredito que retalicao a maquinas robos) etc... Bandas acima de
> 2gb e 2.5Mpps...
> Chegando por Transito internacional
>
> Enviado via iPhone 
> Grupo Connectoway
>
> > Em 10/11/2014, às 19:02, Danilo Mendonça Cabreira <
> danilo at rjnetwork.com.br> escreveu:
> >
> > Rodrigo, tive problemas com 3 clientes:
> >
> > Sexta-feira (07/11) - Ataque DoS (não sabemos se foi DoS ou DDoS) à um
> > provedor com mais de 2Gbps, ataque atraído por alguma máquina vulnerável
> de
> > uma prefeitura com um link de 10 Mbps (é para acabar né!?)
> >
> > Sábado (08/11) - Ataque Dos (origem única) à uma empresa que fornece
> > sistema web (hospedagem usando Windows Server), link de 50Mbps
> >
> > Domingo (09/11) - Ataque à um outro provedor com mais de 500Mbps,
> > possivelmente foi atraído pelo DNS com Allow-query aberto.
> >
> > São clientes totalmente independentes e com aplicações totalmente
> distintas.
> >
> > Hoje não tivemos nenhum incidente...
> >
> >
> >
> > [ ]'s
> >
> > *Danilo Mendonça Cabreira*
> > Gerente de projetos em TI
> > RJ Network - Tecnologia Integrada
> > Fone: +55 (17) 3211 4211 | *9* 9618 9933
> > www.rjnetwork.com.br
> >
> > CCNA | ITILv3 | IPv6 Sage
> >
> > Em 10 de novembro de 2014 18:56, Rodrigo 1telecom <
> rodrigo at 1telecom.com.br>
> > escreveu:
> >
> >> Srs. Muito noas noites! Nossos clientes , especificamente da paraiba,
> >> estao sofrendo ataques constantes desde o dia de ontem. O estranho que
> acho
> >> e que nao so nossos clientes , mas clientes de concorrentes nossos(
> amigos)
> >> tb estao sofrendo com isto. Estamos monitorando, porem as origens sao
> >> spoofadas e fica dificil.... Parece algo proposital e direcionado... Nao
> >> sei... Se alguem puder /quiser compartilhar algo, agradeceremos
> >>
> >> Enviado via iPhone 
> >> Grupo Connectoway
> >> _______________________________________________
> >> caiu mailing list
> >> caiu at eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> >>
> > _______________________________________________
> > caiu mailing list
> > caiu at eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


More information about the caiu mailing list