[GTER] Pedido de ajuda para ataque DDOS

Thu Sep 11 12:08:12 -03 2008

A um tempo passamos por um problema semelhante...

tinhamos vários tipos de clientes (residencial, empresarial, e provedoras de
cidade vizinha)...

o ataque ia direto para um cliente de uma das provedoras... e esta fazia
NAT, o que identificou.

Entre várias atitudes, trabalhamos incessantemente para descobrir a real
causa disso. Então fizemos um trabalho de transformar a rede dessa provedora
em IPs públicos, e num futuro ataque "rezar" para ser para o cliente
causador. Dito e feito, o ataque foi ao IP desse cliente dessa provedora.
Então, chegamos lá, e nunca vi uma máquina tão problemática.

Isolamos esta, (como o ataque UDP nao parou instantaneamente) solicitamos
que a telefonica bloqueasse este NOSSO IP, para parar o ataque e foi o que
resolveu.

Temos a lista dos IPs atacante, mas a telefonica, por alguma norma dela, não
quiz bloquear o atacante, então fizemos o inverso, bloqueasse o nosso IP
atacado, para que os outros clientes pudesse sair.

Achei essa documentação esses dias: veja se te ajuda.

http://www.intron.com.br/doc/gter18.bgp−bloqueio−dos−flood.ear.pdf

[]s
________________________________________________
Renato de Oliveira Diogo

Bacharel em Ciência da Computação
UNESP - Bauru

renato.diogo at gmail.com
renato.diogo at yahoo.com.br

2008/9/11 Rubens Kuhl Jr. <rubensk at gmail.com>

> Gustavo,
>
> Você está na proximidade de algum ponto de troca de tráfego onde seria
> mais simples ativar alguma solução de contingência ou definitiva para
> o problema ?
>
>
> Rubens
>
>
> 2008/9/10 Gustavo Figueira <guxtavo at gmail.com>:
> > Senhores,
> >
> > Estamos sofrendo ataque de DDoS (provenientes de IPs "spoofados" e
> pacotes
> > com CRC inválidos) desde ás 19:00 horas do dia 05 de setembro.
> >
> > *Em diversos contatos com a Intelig temos solicitados insistentemente que
> a
> > mesma identifique a proveniência destes pacotes e entre em contato com os
> > PEERINGs de forma a identificarmos a origem dos pacotes*.
> >
> > Ate mesmo um pedido feito para relatar o que estava ocorrendo e com as
> > medidas tomadas (para apresentação a Delegacia e repasse aos nossos
> > clientes) foi negado.
> >
> > A Intelig alega que não é responsabilidade dela realizar tal tarefa, o
> que
> > entendemos ser incorreto, pois não sendo possível (a identificação de
> origem
> > e contato com os *Peerings*) ser realizado por nossa empresa, podemos
> contar
> > unicamente com as iniciativas da Intelig.
> >
> > Somos um provedor de internet com uma conexão de 6 Mbbs com a Intelig e,
> > estamos sem poder atender adequadamente nossos clientes por conta deste
> > ataque e a própria inércia da Intelig que até o momento se prestou apenas
> a
> > bloquear o tráfego dos IPs atacados (DNS, MX, outros e um /24 inteiro).
> >
> > Estamos sendo atendidos pela Intelig em todos os nossos contatos, mas sem
> > nenhuma ação eficaz.
> >
> > Pedimos apoio ou recomendações para tentar chegar a fonte de origem dos
> > ataques e voltarmos ao nosso cotidiano, pois do contrario estamos
> condenados
> > a fechar a nossa empresa.
> > Se qualquer um puder ajudar eu agradeço.
> >
> > Ats,
> >
> > Gustavo
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>