[GTER] Fwd: Pedido de ajuda para ataque DDOS

Julio Arruda jarruda-gter at jarruda.com
Mon Sep 15 20:08:54 -03 2008 

Tiago Campos wrote:
> Bom dia a Todos!
> 
> Guilherme,
> 
>                              Dependendo do ataque é necessário talvez
> negociar com a operadora uma sistema de BlackHole que compõe um controle
> mais efetivos dos anúncios BGPs.
> 
>                              Somente trabalhando com EGP que é possível
> "resolver" um DDOS.  Não se tem uma solução 100% para DDOS mas com algumas
> medidas é viável conseguir conter alguns níveis de ataques.

Humm...Not quite :-)..
O chamado clean pipes (servico), ou os 'scrubbers' (caixas usadas no 
servico), sao exatamente sistemas dedicados a filtragem de trafego 
anomalo. E nao necessariamente isto e' aplicacao de EGP (se usa BGP para 
o anuncio do offramp, mas alguns produtos podem ser inline, o que nao 
recomendo quando estou fazendo um design).

> 
>                              Alguns datacenter no Brasil ao qual sofre
> bastante ataque DDOS possui normalmente um sistema Zebra que suporta EGP,
> que trabalha com CIDR de um AS próprio da operadora, e este sistema zebra
> fica responsável pela tabela de roteamento EXTERNA.
> 
>                              Ao sofrer um ataque DDOS com Origem "Spoofada"
> (forjada) não adianta usar ACL em roteadores de Colo, pois você não terá
> controle efetivo e somente estará onerando seu Roteador / firewall em CPU e
> memória e ou até link mesmo, o que pode ocasionar a queda de outros clientes
> que passam por aquele nó de rede.
>                              Os roteadores EGP que são roteadores de POPs e
> Peerings  necessitam aceitar os comandos do Zebras para minimizar o impacto
> do ataque.
>                              Funciona assim:  um IDS identifica um ataque e
> barra momentaneamente, porém o ataque consome todo o link. A Intelig como
> operadora prove um servidor de BGP ao Cliente com seu AS de
> responsabilidade, ao qual é feito um anuncio BGP que isola o ip atacado
> momentaneamente.

Voce na verdade 'completou' o DDoS neste caso, enquanto um blackhole (e 
o irmao mais inteligente dele, o FlowSpec) sao solucoes que atendem 
certas necessidades, nao sao geralmente considerados a solucao de 
CleanPipes.

> 
>                              Ataques de grande volume de origem, ainda mais
> forjardos somente desta forma se tem um controle maior sobre a rede que
> sofre este ataque.
> 
>                              Normalmente os Grandes Datacenters do Brasil
> possuem este controle efetivo dos seus anúncios BGPs, não sei se é o caso da
> empresa que está sofrendo este ataque, mais talvez a intelig pode prover
> este serviço de realizar a identificação do ip que esta sofrendo o ataque e
> realizar o anúncio BGP "matando o ip de destino temporariamente",
> Normalmente os anúncios são feitos nas bordas internacionais, onde 90% dos
> ataques são originados.
> 
Novamente, e' completar o DDoS, mas concordo, tem sua utilidade como 
tecnica complementar..(exemplo, para evitar collateral damage em um 
ataque contra um IP que nao tem servicos contratados de cleanpipes..)

>                              Implementando o CAR da CISCO, também pode ter
> uma diminuição no impacto do ataque.
> 
>                              É interessante também fechar ICMP, em pelo
> menos em 2 hops acima pela intelig, até para não facilitar a descoberta de
> se o ataque esta surtindo efeito ou não.

A configuracao default dos TMS filtram ICMP em casos de mitigacoes, o 
que as vezes assusta :-)..
> 
>                              Se tiver firewall na Operadora, talvez um
> CheckPoint da Nokia, com o Smart Defense, que contempla algumas regras de
> bloqueio de spoofing, TCP (syn,rst,ack) flood e outros já minimiza impacto.
> 
>                               O que é mais degradante são os ataques UDP que
> vem fragmentados utilizando o MTU da Rede que normalmente é 1500 Bytes.
> 
>                               Ataques TCP e ICMP podem ser  "controlados por
> estes appliances de firewall", até um certo volume é lógico que atendendo ao
> seu throughput.
> 
>                               Firewall hoje de grande porte para poder
> barrar estes ataques só vi mesmo funcionando com a Juniper e Fortigate da
> Fortinet.

A 4 semanas eu estive colocando no ar um TMS de 10G (duas interfaces 
10GBaseLR na verdade) para um cliente da America Latina, no NAP em 
Miami, como eu trabalho na Arbor, conta testemunho proprio  :-) ?

> 
> guilhernee <guilhernee at bol.com.br>
> 14/09/2008 14:06
> 
>  Fera, eu participo dessa lista... Da uma olhada !!! Tem gente pedindo ajuda
> p/ solucionar ataque de DDoS.
> 
> Em 11/09/2008 13:05, Gustavo Figueira   escreveu:
> 
> Durval,
> 
> Pelo o que vi, nenhuma operadora pode bloquear tráfego a não ser para a sua
> própria rede. Eu não posso pedir pra que eles façam um bloqueio na origem X
> ou Y. Só posso pedir que façam um bloqueio para nossos IPs onde a origem é
> nacional ou internacional.
> 
> Eles devem ter capacidade técnica pra descobrir de qual peering esses
> pacotes estão vindo, informar o peering e o peering fazer a mesma coisa até
> que cheguem em todas as origens. Ficar bloqueando IPs é apenas paleativo,
> até porque os IPs são spoofados.
> 
> Em relação a jurisprudência, o Sr. Humberto Bruno da Anatel já solicitou a
> Intelig q ue intervisse no assunto a fim de resolver o problema:
> 
> *De:* Humberto Bruno Pontes Silva
> *Enviada em:* quinta-feira, 11 de setembro de 2008 11:45
> *Para:* Fabio Cipolla; Dirceu Baraviera
> *Cc:* Carlos Rodrigues Borges Junior; Marcio Ferreira Serra
> *Assunto:* RES: Ataque de DDoS, pedido de ajuda - KernTec
> 
> Prezado Dr. Dirceu,
> 
> Entendemos que o problema abaixo é grave e cabe intervenção da Gerência
> Geral junto a Presidência da Intelig para solucionar o problema descrito
> abaixo. Sugerimos seu contato com o presidente da empresa.
> 
> att,
> 
> *Humberto Bruno Pontes Silva*
> Especialista em Regulação de Serviços Públicos de Telecomunicações
> Gerência de Acompanhamento - PVSTP - Superintendência de Serviços Privados
> 
> Renato,
> 
> Muito obrigado pelas suas considerações. Acredito que seja esse mesmo o
> caminho.
> 
> Vitor,
> 
> Não temos esses tipos de se rviço. Pra nossa empresa o simples bloqueio de
> tráfego internacional não resolve, pois nossos clientes acessam sites
> internacionais.
> 
> Rubens,
> 
> Não é financeiramente viável para a nossa empresa estar ligado a um PTT :(
> 
> Allan,
> 
> Já pensamos nessa solucão. Mas dependemos de compra de hardware, uma vez que
> nossos 6MB são 3 E1s, e a troca disso pra fibra é inviável financeiramente
> falando.
> 
> Senhores,
> 
> Agradeço a todos as respostas. Se tiverem mais dicas eu ficarei muito feliz.
> Entendo que existem várias soluções para esses problemas, mas devido ao
> tamanho de nossa empresa, a maioria delas não cabe. Colocar um IPS
> resolveria em certo ponto, mas vocês devem concordar que o atacante pode
> alterar o tipo de ataque e acabar com nossos 6Mbs num instante.
> 
> Ats,
> 
> 
> Gustavo
> 2008/9/11 Durval Menezes
> 
>> Prezado Gustavo,
>>
>> Se seu unico acesso internet e' atraves da operadora mencionada,
>> nao vejo saida sem cooperacao deles.
>>
>> O correto seria a operador identificar e bloquear o trafego de DDOS
>> na(s) entrada(s) da rede dela (pontos de peering). Nao acho que va'
>> ser produtivo tentar "identificarmos a origem dos pacotes", no maximo
>> vai se chegar a alguns zombies de uma botnet qualquer que esta' sendo
>> usada para o ataque, e que nao so' podem ser trocados por outros como
>> tambem dificilmente levariam ao "autor" do ataque.
>>
>> Acho que voce deve ter uma conversa muito seria com o seu gerente de
>> contas, se for o caso incluindo na conversa um advogado seu. IANAL
>> (I Am Not A Lawyer), mas entendo que num caso desses cabe uma liminar
>> para obrigar a operadora a tomar medidas imediatas para restabelecer
>> o seu servico, e em um segundo mo mento uma acao de perdas e danos para
>> ressarci-lo do seu prejuizo pelo periodo em que voce ficou com o servico
>> operando precariamente.
>>
>> Um Grande Abraco,
>> --
>> Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)
>>
>> On Wed, Sep 10, 2008 at 09:04:05PM -0300, Gustavo Figueira wrote:
>>> Senhores,
>>>
>>> Estamos sofrendo ataque de DDoS (provenientes de IPs "spoofados" e
>> pacotes
>>> com CRC inválidos) desde ás 19:00 horas do dia 05 de setembro.
>>>
>>> *Em diversos contatos com a Intelig temos solicitados insistentemente
> que
>> a
>>> mesma identifique a proveniência destes pacotes e entre em contato com
> os
>>> PEERINGs de forma a identificarmos a origem dos pacotes*.
>>>
>>> Ate mesmo um pedido feito para relatar o que estava ocorrendo e com as
> &g t; > medidas tomadas (para apresentação a Delegacia e repasse aos nossos
>>> clientes) foi negado.
>>>
>>> A Intelig alega que não é responsabilidade dela realizar tal tarefa, o
>> que
>>> entendemos ser incorreto, pois não sendo possível (a identificação de
>> origem
>>> e contato com os *Peerings*) ser realizado por nossa empresa, podemos
>> contar
>>> unicamente com as iniciativas da Intelig.
>>>
>>> Somos um provedor de internet com uma conexão de 6 Mbbs com a Intelig e,
>>> estamos sem poder atender adequadamente nossos clientes por conta deste
>>> ataque e a própria inércia da Intelig que até o momento se prestou
> apenas
>> a
>>> bloquear o tráfego dos IPs atacados (DNS, MX, outros e um /24 inteiro).
>>>
>>> Estamos sendo atendidos pela Intelig em todos os nossos contatos, mas
> sem
>>> nenhuma ação eficaz.
>>>
>>> Pedimos apoio ou recomendações para tentar chegar a fonte de origem dos
>>> ataques e voltarmos ao nosso cotidiano, pois do contrario estamos
>> condenados
>>> a fechar a nossa empresa.
>>> Se qualquer um puder ajudar eu agradeço.
>>>
>>> Ats,

More information about the gter mailing list