[GTER] Pedido de ajuda para ataque DDOS

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Fri Sep 12 10:49:19 -03 2008 

Qual a conectividade do seu link? Chega via ether? Se não chega, avalie 
a aquisição de uma interface Sangoma para receber o link, e faça o 
filtro de CRC invalido com algum commodity hardware, de preferencia sem 
partes moveis, antes de passar a bola pro roteador.

Isso é uma sugestão sem aquisição de hw especifico, como um Juniper com 
IDP da vida. Se usar o firewall pf uma unica regra (scrub) provavelmente 
resolvera o que voce quer. Sobre Juniper basta tambem habilitar a 
normalização no IDP. Sendo algo simples, é tambem leve, usar uma Soekris 
da vida antes do router será suficiente. (depois avalie substituir o 
router inteiro, se achar conveniente).

Outra opção é tentar avaliar se existe uma combinação de AS de trânsito 
comum, de quem te entrega esses pacotes, e faça um filtro por 
combinações de as-transit. Mas fica claro que voce podera bloquear 
tráfego que não deseja.

Por ultimo, e normalmente a solução que costuma funcionar, avalie quem é 
o alvo desses ataques. A rede inteira? Apenas um IP? Alguns IPs? Uma 
solução é modificar esses IPs e fazer null routing desses destinos. Se o 
ataque for por DNS, cedo ou tarde ele recomecará, ai avalie os logs do 
seu DNS pois os IPs em questão provavelmente terão feito queries, se for 
apenas 1 dominio, faça views para BR e não-BR ou faça uma acl negando 
blackholes tudo que não for BR para esse registro (as vezes nem precisa 
ser pra zona inteira, apenas um registro, www.dominio.com.br da vida).

Enfim, sao as possibilidades que eu vejo, sem cooperação da operadora. 
Que alias não é obrigada a cooperar mesmo não, afinal você é um ASN, e 
por si só, já é claro que você está por conta: é autônomo.

Não conte que quem está atacando "irá desistir". É improvavel que alguem 
esteja atacando, explicitamente, mas sim que é um Windows em algum lugar 
infectado e mandando pacotes pra varios destinos, e você é um deles. Se 
cessar de repente é porque tiraram a máquina comprometida do ar ;)

-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

More information about the gter mailing list