[GTER] Problemas de ataque.

Tukso Antartiko tukso.antartiko at gmail.com
Fri Feb 8 20:58:30 -02 2008


Você fez o que o Rubens sugeriu?

Como você tem BGP pode usar communties e não fazer anúncio do seu bloco para
o exterior em um dos seus links, por exemplo a Embratel. E veja se o tráfego
icmp muda (vai todo para o outro link). Se não mudar em nada, indicando que
é nacional, você pode usar outras communities mais específicas e tentar
identificar a origem. Se for para o internacional acho que os provedores
nacionais não fornecem muitas communities para tráfego internacional daí
você poderia dizer que parte do problema é deles, por não te permitirem
fazer por conta própria.

Quanto ao ataque em si, deve ter algum padrão que você ainda não conseguiu
identificar, para isso é preciso experiência e uma máquina rodando em um
trap.

Se não tiver padrão a solução é usar roteadores e links robustos e esperar
parar ou contratar um clean pipe como sugeriram e deixar o trabalho por
conta deles.

Não culpe a máquina e a memória, compre um servidor melhor para usar de
firewall ou substituir o seu roteador, e rode FreeBSD ao invés de Linux.



2008/2/7 Rubens Kuhl Jr. <rubensk at gmail.com>:

> >  Pessoal estou com um problema, Esta passando por meu roteador (maquina
> > linux com o zebra) um trafego muito alto de requisições icmp .
> >  As requisições  vem de diversas origens e vão para diversos endereços
> > IPs dentro de minha rede, sendo impossível realizar um bloqueio!!
> > Se for bloqueado todo trafego do protocolo icmp, aumentara em muito o
> > processamento e a utilização de memória do roteador.
>
> A utilização de memória já se dá quando o tráfego entra na conntrack,
> então bloquear ou encaminhar o tráfego não faz diferença em utilização
> de memória. Faça DROP sem log em PREROUTING; a carga no roteador não
> mudará, mas pelo menos as máquinas atacadas passarão a respirar.
>
> > Tem alguma maneira de ser resolvido este problema sem bloquear o trafego
> > icmp?
>
> Você permitir ICMP associados a algum outro tráfego com sessão na
> conntrack, bloqueando sim apenas os ICMPs não-solicitados, não os que
> são resposta a requisições válidas, mesmo que sejam pings, originadas
> na sua rede.
>
> > obs: ja foi aberto um chamado na Embratel e na telefonica pois possuímos
> > 2 links  redundante  (1 link de 30mb Telefônica e Embratel 11mbps), e
> > eles alegaram que não é possível criar um filtro para bloquear este tipo
> > de trafego (icmp) pois afetara o desempenho de seus equipamentos.
>
> A questão aqui não é filtrar icmp, mas qualquer filtro; o impacto de
> desempenho para os equipamentos deles independe de filtrar este ou
> aquele protocolo, mas depende de filtrar ou não tráfego por qualquer
> regra.
>
> O lado ruim é que você descobriu que não pode contar com eles quando
> estiver nessa situação, o lado bom é exatamente o mesmo e permite que
> você agora procure fornecedores com uma postura mais adequada.
>
>
>
>
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list