[GTER] Fwd: Pedido de ajuda para ataque DDOS
Tiago Campos
tiago.campos at gmail.com
Mon Sep 15 11:51:51 -03 2008
Bom dia a Todos!
Guilherme,
Dependendo do ataque é necessário talvez
negociar com a operadora uma sistema de BlackHole que compõe um controle
mais efetivos dos anúncios BGPs.
Somente trabalhando com EGP que é possível
"resolver" um DDOS. Não se tem uma solução 100% para DDOS mas com algumas
medidas é viável conseguir conter alguns níveis de ataques.
Alguns datacenter no Brasil ao qual sofre
bastante ataque DDOS possui normalmente um sistema Zebra que suporta EGP,
que trabalha com CIDR de um AS próprio da operadora, e este sistema zebra
fica responsável pela tabela de roteamento EXTERNA.
Ao sofrer um ataque DDOS com Origem "Spoofada"
(forjada) não adianta usar ACL em roteadores de Colo, pois você não terá
controle efetivo e somente estará onerando seu Roteador / firewall em CPU e
memória e ou até link mesmo, o que pode ocasionar a queda de outros clientes
que passam por aquele nó de rede.
Os roteadores EGP que são roteadores de POPs e
Peerings necessitam aceitar os comandos do Zebras para minimizar o impacto
do ataque.
Funciona assim: um IDS identifica um ataque e
barra momentaneamente, porém o ataque consome todo o link. A Intelig como
operadora prove um servidor de BGP ao Cliente com seu AS de
responsabilidade, ao qual é feito um anuncio BGP que isola o ip atacado
momentaneamente.
Ataques de grande volume de origem, ainda mais
forjardos somente desta forma se tem um controle maior sobre a rede que
sofre este ataque.
Normalmente os Grandes Datacenters do Brasil
possuem este controle efetivo dos seus anúncios BGPs, não sei se é o caso da
empresa que está sofrendo este ataque, mais talvez a intelig pode prover
este serviço de realizar a identificação do ip que esta sofrendo o ataque e
realizar o anúncio BGP "matando o ip de destino temporariamente",
Normalmente os anúncios são feitos nas bordas internacionais, onde 90% dos
ataques são originados.
Implementando o CAR da CISCO, também pode ter
uma diminuição no impacto do ataque.
É interessante também fechar ICMP, em pelo
menos em 2 hops acima pela intelig, até para não facilitar a descoberta de
se o ataque esta surtindo efeito ou não.
Se tiver firewall na Operadora, talvez um
CheckPoint da Nokia, com o Smart Defense, que contempla algumas regras de
bloqueio de spoofing, TCP (syn,rst,ack) flood e outros já minimiza impacto.
O que é mais degradante são os ataques UDP que
vem fragmentados utilizando o MTU da Rede que normalmente é 1500 Bytes.
Ataques TCP e ICMP podem ser "controlados por
estes appliances de firewall", até um certo volume é lógico que atendendo ao
seu throughput.
Firewall hoje de grande porte para poder
barrar estes ataques só vi mesmo funcionando com a Juniper e Fortigate da
Fortinet.
guilhernee <guilhernee at bol.com.br>
14/09/2008 14:06
Fera, eu participo dessa lista... Da uma olhada !!! Tem gente pedindo ajuda
p/ solucionar ataque de DDoS.
Em 11/09/2008 13:05, Gustavo Figueira escreveu:
Durval,
Pelo o que vi, nenhuma operadora pode bloquear tráfego a não ser para a sua
própria rede. Eu não posso pedir pra que eles façam um bloqueio na origem X
ou Y. Só posso pedir que façam um bloqueio para nossos IPs onde a origem é
nacional ou internacional.
Eles devem ter capacidade técnica pra descobrir de qual peering esses
pacotes estão vindo, informar o peering e o peering fazer a mesma coisa até
que cheguem em todas as origens. Ficar bloqueando IPs é apenas paleativo,
até porque os IPs são spoofados.
Em relação a jurisprudência, o Sr. Humberto Bruno da Anatel já solicitou a
Intelig q ue intervisse no assunto a fim de resolver o problema:
*De:* Humberto Bruno Pontes Silva
*Enviada em:* quinta-feira, 11 de setembro de 2008 11:45
*Para:* Fabio Cipolla; Dirceu Baraviera
*Cc:* Carlos Rodrigues Borges Junior; Marcio Ferreira Serra
*Assunto:* RES: Ataque de DDoS, pedido de ajuda - KernTec
Prezado Dr. Dirceu,
Entendemos que o problema abaixo é grave e cabe intervenção da Gerência
Geral junto a Presidência da Intelig para solucionar o problema descrito
abaixo. Sugerimos seu contato com o presidente da empresa.
att,
*Humberto Bruno Pontes Silva*
Especialista em Regulação de Serviços Públicos de Telecomunicações
Gerência de Acompanhamento - PVSTP - Superintendência de Serviços Privados
Renato,
Muito obrigado pelas suas considerações. Acredito que seja esse mesmo o
caminho.
Vitor,
Não temos esses tipos de se rviço. Pra nossa empresa o simples bloqueio de
tráfego internacional não resolve, pois nossos clientes acessam sites
internacionais.
Rubens,
Não é financeiramente viável para a nossa empresa estar ligado a um PTT :(
Allan,
Já pensamos nessa solucão. Mas dependemos de compra de hardware, uma vez que
nossos 6MB são 3 E1s, e a troca disso pra fibra é inviável financeiramente
falando.
Senhores,
Agradeço a todos as respostas. Se tiverem mais dicas eu ficarei muito feliz.
Entendo que existem várias soluções para esses problemas, mas devido ao
tamanho de nossa empresa, a maioria delas não cabe. Colocar um IPS
resolveria em certo ponto, mas vocês devem concordar que o atacante pode
alterar o tipo de ataque e acabar com nossos 6Mbs num instante.
Ats,
Gustavo
2008/9/11 Durval Menezes
> Prezado Gustavo,
>
> Se seu unico acesso internet e' atraves da operadora mencionada,
> nao vejo saida sem cooperacao deles.
>
> O correto seria a operador identificar e bloquear o trafego de DDOS
> na(s) entrada(s) da rede dela (pontos de peering). Nao acho que va'
> ser produtivo tentar "identificarmos a origem dos pacotes", no maximo
> vai se chegar a alguns zombies de uma botnet qualquer que esta' sendo
> usada para o ataque, e que nao so' podem ser trocados por outros como
> tambem dificilmente levariam ao "autor" do ataque.
>
> Acho que voce deve ter uma conversa muito seria com o seu gerente de
> contas, se for o caso incluindo na conversa um advogado seu. IANAL
> (I Am Not A Lawyer), mas entendo que num caso desses cabe uma liminar
> para obrigar a operadora a tomar medidas imediatas para restabelecer
> o seu servico, e em um segundo mo mento uma acao de perdas e danos para
> ressarci-lo do seu prejuizo pelo periodo em que voce ficou com o servico
> operando precariamente.
>
> Um Grande Abraco,
> --
> Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)
>
> On Wed, Sep 10, 2008 at 09:04:05PM -0300, Gustavo Figueira wrote:
> > Senhores,
> >
> > Estamos sofrendo ataque de DDoS (provenientes de IPs "spoofados" e
> pacotes
> > com CRC inválidos) desde ás 19:00 horas do dia 05 de setembro.
> >
> > *Em diversos contatos com a Intelig temos solicitados insistentemente
que
> a
> > mesma identifique a proveniência destes pacotes e entre em contato com
os
> > PEERINGs de forma a identificarmos a origem dos pacotes*.
> >
> > Ate mesmo um pedido feito para relatar o que estava ocorrendo e com as
&g t; > medidas tomadas (para apresentação a Delegacia e repasse aos nossos
> > clientes) foi negado.
> >
> > A Intelig alega que não é responsabilidade dela realizar tal tarefa, o
> que
> > entendemos ser incorreto, pois não sendo possível (a identificação de
> origem
> > e contato com os *Peerings*) ser realizado por nossa empresa, podemos
> contar
> > unicamente com as iniciativas da Intelig.
> >
> > Somos um provedor de internet com uma conexão de 6 Mbbs com a Intelig e,
> > estamos sem poder atender adequadamente nossos clientes por conta deste
> > ataque e a própria inércia da Intelig que até o momento se prestou
apenas
> a
> > bloquear o tráfego dos IPs atacados (DNS, MX, outros e um /24 inteiro).
> >
> > Estamos sendo atendidos pela Intelig em todos os nossos contatos, mas
sem
> > nenhuma ação eficaz.
> >
> > Pedimos apoio ou recomendações para tentar chegar a fonte de origem dos
> > ataques e voltarmos ao nosso cotidiano, pois do contrario estamos
> condenados
> > a fechar a nossa empresa.
> > Se qualquer um puder ajudar eu agradeço.
> >
> > Ats,
> >
> > Gustavo
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
>
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list