[GTER] Ataques em Servidores

[Tukso Antartiko]

Resposta super atrasada mas... Dependendo da arquitetura da sua rede
não dá tanto trabalho. Se você tem uma conexão/provedor
específica/prioritária para tráfego internacional e o ataque tiver
esta procedência você verá o uso deste link subir enquanto o restante
fica descomprometido. Depois disso você separa os ASN
(estatisticamente) SoHo dos de datacenter, pois a maioria de DDOS vem
de máquinas domésticas, mantendo a maioria dos serviços essenciais
caso seu perfil de tráfego seja consumo. Em seguida filtra os ASN
(estatisticamente) por região (continente, idioma, país) pois as
máquinas comprometidas normalmente costumam ter características
regionais.

Apesar das grandes operadoras brasileiras se ligarem a vários AS
brasileiros (alguns poucos e seus clientes) elas permitem anúncios
específicos muito genéricos (tráfego nacional) ou apenas para alguns
dos ASs. As operadoras internacionais costumam permitir anúncios
específicos para qualquer um dos seus vizinhos, e as communities são
de certa forma padronizadas: em quase toda communitie BGP existe uma
similar acrescentando o ASN como parâmetro adicional que a torna
específica para aquele ASN. No Brasil costuma-se passar parâmetros que
nada tem a ver com o ASN.

O controle de quais vizinhos a operadora tem você faz pelos anúncios
que recebe, mas a maioria vende tráfego full, portanto se você fizer
lambança a culpa é sua.

Quanto aos vizinhos internacionais as operadoras brasileiras tem
poucos sim (algumas tem um ou dois principais) além disso costumam
permitir apenas filtro genérico (tráfego internacional), jogando tudo
no mesmo bolo (como os CDNs que elas fazem peering). Se você compra de
uma operadora internacional *bem conectada* ou compra transporte até
os EUA e compra seu tráfego/faz peering lá, você tem muito mais
controle dos anúncios, que pode precisar nestes casos de grandes DDOS.

On 4/15/09, Diogo Montagner <diogo.montagner at gmail.com> wrote:
> Ver inline ....
>
> Abs
>
> ./diogo -montagner
>
>
>
> 2009/4/15 Tukso Antartiko <tukso.antartiko at gmail.com>:
>> Com BGP, para bloquear pela origem (fora da sua rede), você consegue,
>> por default (sem negociação), bloquear apenas todo trânsito (sem
>> prefixos específicos) que passe por um dos ASs do seu AS mais próximo
>> (A), basta usar communities pedindo para A não anunciar um dos seus
>> prefixos (mínimo /24) para determinado(s) AS peer.
>>
>
> Sim. É possível. Mas é extremamente trabalhoso e tu gasta um certo
> tempo até conseguir fazer todas as marcações necessárias e analisar o
> efeito das suas ações sobre os prefixos. Além do mais, requer um bom
> nível de conhecimento do protocolo BGP e do comportamento do mesmo ao
> longo de um caminho de vários ASes e múltiplas conexões. Lembrando
> também que em ataques pesados sempre haverá um telefone tocando
> cobrando uma solução .... ou alguém na linha com você esperando a sua
> atuação ;-)
>
>> A maioria das operadoras que operam no Brasil implementam algo do
>> tipo, mesmo que a maioria o faça de forma bastante incompleta, talvez
>> pelo número limitado de peers destas ou da forma que configuraram esta
>> community (passando um parâmetro fixo pré-determinado ao invés do
>> ASN).
>>
>
> As operadoras possuem conexões com vários ASes. E a todo momento,
> novas conexões com os ASes já conectados ou ainda não conectados são
> criadas. Como não existe um padrão acordado em relação a comunidades,
> cada peer implementa manipulações de tráfego com comunidades da sua
> maneira. Com isto, fazer a tradução da política da operadora para a
> política de cada um dos peer não é uma coisa trivial e simples. Além
> do mais deve ser verificado com uma certa frequencia se não há
> alterações nas políticas dos peer, como por exemplo, o detentor de um
> AS comprando outro AS, e modificando suas politicas em função disto.
>
>> Outra alternativa é que outro AS (B), que faça peer com o AS (C) que
>> queira bloquear, mas não se importe com em receber este volume de
>> tráfego, faça um "hijack" do(s) seu(s) prefixo(s) (mínimo /24),
>> anunciando-o(s) apenas para C.
>>
>> A vantagem é que independentemente do endereços dos pacotes serem
>> forjados você consegue ter uma idéia da origem.
>>
>> On 4/13/09, Julio Arruda <jarruda-gter at jarruda.com> wrote:
>>> GIULIANO (UOL) wrote:
>>>> Pessoal,
>>>>
>>>> Suponto um link de 1 Gbps recebendo um trafego alto de mais de 400 Mbps
>>>> ... na forma de um ataque de DoS. O trafego sobe de uma so vez ... para
>>>> 900 Mbps ... e na media trabalha com 500 Mbps.
>>>>
>>>> Como eu poderia fazer, pra injetar um bloqueio de rota ... dos prefixos
>>>> de onde se originam o ataque ... via BGP ?  Estamos monitorando o
>>>> trafego e o roteador de borda ja esta trabalhando com 89% de CPU.
>>>>
>>>> O roteador e CISCO e o cliente roda BGP com AS publico com 1 unica
>>>> operadora. Alguam poderia me ajudar ? Existem formas de fazer isso ?
>>>> Existe algum modelo de configuracao ?
>>>>
>>>
>>> O RTBH (remote trigered blackhole) pode ser combinado com source
>>> filtering, porem....lembre que o ataque pode ser spoofed :-)..
>>> De qualquer forma RTBH+rpf eu so vi dentro do mesmo provedor...nao
>>> 'entre dominios'..
>>>
>>> Imagine se vem um ataque 'spoofed', dos root servers..Delicia nao ?
>>>
>>> Mitigacao neste caso, geralmente tem que ser feito no upstream..
>>> De qualqeur forma..
>>> qual o padrao do ataque ? Se quiser mandar algo em pvt, se sinta a
>>> vontade..
>>>