[GTER] Pedido de ajuda para ataque DDOS

Julio Arruda jarruda-gter at jarruda.com
Thu Sep 11 17:55:52 -03 2008 

Gustavo Figueira wrote:
> Durval,
> 
> Pelo o que vi, nenhuma operadora pode bloquear tráfego a não ser para a sua
> própria rede. Eu não posso pedir pra que eles façam um bloqueio na origem X
> ou Y. Só posso pedir que façam um bloqueio para nossos IPs onde a origem é
> nacional ou internacional.

Se voces podem 'conviver' com o bloqueio de IP especificos, a maneira 
mais imediata seria anunciar um blackhole para o seu upstream (voce 
teria que conversar com o Upstream para ver a politica deles em relacao 
a isto), assim voce resolve o problema de colateral damage, que e' o que 
voce esta sofrendo (atacam um IP, e seu router no caminho kaputz) pelo 
que entendi..Existem provedores que tem blackholes "por pedaco", voce 
anuncia um blackhole por exemplo, que so filtra o trafego e peers 
internacionais, ou so os nacionais, e por ai vai.

Porem.......Se estao atacando seu DNS, seu SMTP e etc :-), na verdade o 
blackhole pode ser resumido como um whack-a-mole :-), e quando voce der 
com o porrete no IP, voce tira ele da Internet, meio que completando o 
DDoS :-)



> 
> Eles devem ter capacidade técnica pra descobrir de qual peering esses
> pacotes estão vindo, informar o peering e o peering fazer a mesma coisa até
> que cheguem em todas as origens. Ficar bloqueando IPs é apenas paleativo,
> até porque os IPs são spoofados.

o traceback, a analise de "onde" vem o trafego, geralmente e' algo um 
pouco trabalhoso e demorado, se feita manualmente. Nao e' black-magic, 
porem, sim, da trabalho.

#include disclaimer...trabalho na Arbor, que definiu o mercado de 
ferramentas para isto :-), portanto, nao posso reclamar disto.

O spoofing, isto realmente nao da para filtrar com ACL, Flowspec, reza 
braba, os scrubbers fazem gatos para fazer isto, como syn-auth (parente 
distante do syn-cookies), dns-authentication e outros.
Uma curiosidade, se quiser mandar em privado, qual os IPs sendo atacados 
? sao sempre os mesmos ?


> 
> Em relação a jurisprudência, o Sr. Humberto Bruno da Anatel já solicitou a
> Intelig que intervisse no assunto a fim de resolver o problema:
> 
> *De:* Humberto Bruno Pontes Silva
> *Enviada em:* quinta-feira, 11 de setembro de 2008 11:45
> *Para:* Fabio Cipolla; Dirceu Baraviera
> *Cc:* Carlos Rodrigues Borges Junior; Marcio Ferreira Serra
> *Assunto:* RES: Ataque de DDoS, pedido de ajuda - KernTec
> 
> Prezado Dr. Dirceu,
> 
> Entendemos que o problema abaixo é grave e cabe intervenção da Gerência
> Geral junto a Presidência da Intelig para solucionar o problema descrito
> abaixo. Sugerimos seu contato com o presidente da empresa.
> 
> att,
> 
> *Humberto Bruno Pontes Silva*
> Especialista em Regulação de Serviços Públicos de Telecomunicações
> Gerência de Acompanhamento - PVSTP - Superintendência de Serviços Privados
> 
> Renato,
> 
> Muito obrigado pelas suas considerações. Acredito que seja esse mesmo o
> caminho.
> 
> Vitor,
> 
> Não temos esses tipos de serviço. Pra nossa empresa o simples bloqueio de
> tráfego internacional não resolve, pois nossos clientes acessam sites
> internacionais.
> 
> Rubens,
> 
> Não é financeiramente viável para a nossa empresa estar ligado a um PTT :(
> 
> Allan,
> 
> Já pensamos nessa solucão. Mas dependemos de compra de hardware, uma vez que
> nossos 6MB são 3 E1s, e a troca disso pra fibra é inviável financeiramente
> falando.
> 
> Senhores,
> 
> Agradeço a todos as respostas. Se tiverem mais dicas eu ficarei muito feliz.
> Entendo que existem várias soluções para esses problemas, mas devido ao
> tamanho de nossa empresa, a maioria delas não cabe. Colocar um IPS
> resolveria em certo ponto, mas vocês devem concordar que o atacante pode
> alterar o tipo de ataque e acabar com nossos 6Mbs num instante.
> 
> Ats,
> 
> 
> Gustavo
> 2008/9/11 Durval Menezes <durval at tmp.com.br>
> 
>> Prezado Gustavo,
>>
>> Se seu unico acesso internet e' atraves da operadora mencionada,
>> nao vejo saida sem cooperacao deles.
>>
>> O correto seria a operador identificar e bloquear o trafego de DDOS
>> na(s) entrada(s) da rede dela (pontos de peering). Nao acho que va'
>> ser produtivo tentar "identificarmos a origem dos pacotes", no maximo
>> vai se chegar a alguns zombies de uma botnet qualquer que esta' sendo
>> usada para o ataque, e que nao so' podem ser trocados por outros como
>> tambem dificilmente levariam ao "autor" do ataque.
>>
>> Acho que voce deve ter uma conversa muito seria com o seu gerente de
>> contas, se for o caso incluindo na conversa um advogado seu. IANAL
>> (I Am Not A Lawyer), mas entendo que num caso desses cabe uma liminar
>> para obrigar a operadora a tomar medidas imediatas para restabelecer
>> o seu servico, e em um segundo momento uma acao de perdas e danos para
>> ressarci-lo do seu prejuizo pelo periodo em que voce ficou com o servico
>> operando precariamente.
>>
>> Um Grande Abraco,
>> --
>>   Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)
>>
>> On Wed, Sep 10, 2008 at 09:04:05PM -0300, Gustavo Figueira wrote:
>>> Senhores,
>>>
>>> Estamos sofrendo ataque de DDoS (provenientes de IPs "spoofados" e
>> pacotes
>>> com CRC inválidos) desde ás 19:00 horas do dia 05 de setembro.
>>>
>>> *Em diversos contatos com a Intelig temos solicitados insistentemente que
>> a
>>> mesma identifique a proveniência destes pacotes e entre em contato com os
>>> PEERINGs de forma a identificarmos a origem dos pacotes*.
>>>
>>> Ate mesmo um pedido feito para relatar o que estava ocorrendo e com as
>>> medidas tomadas (para apresentação a Delegacia e repasse aos nossos
>>> clientes) foi negado.
>>>
>>> A Intelig alega que não é responsabilidade dela realizar tal tarefa, o
>> que
>>> entendemos ser incorreto, pois não sendo possível (a identificação de
>> origem
>>> e contato com os *Peerings*) ser realizado por nossa empresa, podemos
>> contar
>>> unicamente com as iniciativas da Intelig.
>>>
>>> Somos um provedor de internet com uma conexão de 6 Mbbs com a Intelig e,
>>> estamos sem poder atender adequadamente nossos clientes por conta deste
>>> ataque e a própria inércia da Intelig que até o momento se prestou apenas
>> a
>>> bloquear o tráfego dos IPs atacados (DNS, MX, outros e um /24 inteiro).
>>>
>>> Estamos sendo atendidos pela Intelig em todos os nossos contatos, mas sem
>>> nenhuma ação eficaz.
>>>
>>> Pedimos apoio ou recomendações para tentar chegar a fonte de origem dos
>>> ataques e voltarmos ao nosso cotidiano, pois do contrario estamos
>> condenados
>>> a fechar a nossa empresa.
>>> Se qualquer um puder ajudar eu agradeço.
>>>
>>> Ats,
>>>
>>> Gustavo
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list