[GTER] DoS

[Julio Arruda]

Thiago Coutinho wrote:
> Boa tarde.
> 
> Na empresa onde trabalho temos um cliente que está recebendo várias
> requisições UDP na porta 5060 vindas do IP
> 213.149.105.45. Não sei exatamente a quantidade, mas pelo tcpdump vi
> que são algumas dezenas por segundo.
> Já bloqueamos no firewall, porém as requisições continuam batendo no
> firewall, isso há 2 dias.
> Já entrei em contato com a Intelig e eles disseram que não podem
> bloquear o IP no backbone, só conseguem bloquear tudo que for
> internacional ou nada.
> 
> Há alguma outra forma de resolver isso?


RTBH (remote triggered blackhole), com uRPF pode ser usado para filtrar 
isto no seu router, ja que voce sabe que IP e' o atacante, e' um caso 
especifico do blackhole, para filtrar origem :-)..
Obviamente uma ACL deveria resolver tambem, pois voce tem algo 'simples' 
de identificar (src 213.149.104.45 e dst port 5060).

Em equipamentos de mitigacao especializados, isto seria bloqueado com 
mitigacoes especificas para SIP provavelmente (se o pacote for 
malformado, ou o rate for acima do esperado para um /32).


disclaimer, trabalho na Arbor...