[GTER] DoS
Julio Arruda
jarruda-gter at jarruda.com
Mon Mar 30 09:23:43 -03 2009
Thiago Coutinho wrote:
> Boa tarde.
>
> Na empresa onde trabalho temos um cliente que está recebendo várias
> requisições UDP na porta 5060 vindas do IP
> 213.149.105.45. Não sei exatamente a quantidade, mas pelo tcpdump vi
> que são algumas dezenas por segundo.
> Já bloqueamos no firewall, porém as requisições continuam batendo no
> firewall, isso há 2 dias.
> Já entrei em contato com a Intelig e eles disseram que não podem
> bloquear o IP no backbone, só conseguem bloquear tudo que for
> internacional ou nada.
>
> Há alguma outra forma de resolver isso?
RTBH (remote triggered blackhole), com uRPF pode ser usado para filtrar
isto no seu router, ja que voce sabe que IP e' o atacante, e' um caso
especifico do blackhole, para filtrar origem :-)..
Obviamente uma ACL deveria resolver tambem, pois voce tem algo 'simples'
de identificar (src 213.149.104.45 e dst port 5060).
Em equipamentos de mitigacao especializados, isto seria bloqueado com
mitigacoes especificas para SIP provavelmente (se o pacote for
malformado, ou o rate for acima do esperado para um /32).
disclaimer, trabalho na Arbor...
More information about the gter
mailing list