[GTER] Melhores Práticas em Ataques DOS/DDOS

Lucas Willian Bocchi lucas.bocchi at gmail.com
Tue Aug 14 08:09:39 -03 2012 

Bom dia Rosauro

Se você não tem regras no roteador de borda, pode deixar desativado o
conntracking sem problemas.

Quanto ao NTOP, eu uso e recomendo, porém, é bom você instalar ele
numa outra máquina e montar um netflow / sflow nesse cara e fazer o
roteador alimentar o cara com as informações de fluxo.


Em 13 de agosto de 2012 23:01, Rosauro Baretta <rosauro at rline.com.br> escreveu:
> Pessoal,
>
> agora já conseguimos implementar o blackhole pela GVT, e as coisas já estão
> mais faceis, mas estou procurando melhorar alguns itens para facilitar o
> nosso trabalho em outros casos como estes.
>
> - Para melhorar a performance do roteador (usamos vyatta aqui para BGP) é
> interessante diminuir o tempo que o roteador mantem o rastreamento das
> conexoes ?
> - alguém indica algum aplicativo para monitorar alguma anomalia no trafego
> do provedor, exemplo o NTOP ?
>
>
>
> Atenciosamente,
>
> Rosauro Baretta
> Fixo: 46 3555 8000
> Cel Claro: 46 8401 4560
> Cel TIM: 46 9975 2565
>
> Em 12-08-2012 18:16, Rafael Cresci escreveu:
>>
>> Basta entrar em contato com os brasileiros donos destes IPs tb:
>>
>>
>> rafael$ whois 63.143.40.194
>> #
>> # Query terms are ambiguous.  The query is assumed to be:
>> #     "n 63.143.40.194"
>> #
>> # Use "?" to get help.
>> #
>>
>> #
>> # The following results may also be obtained via:
>> #
>> http://whois.arin.net/rest/nets;q=63.143.40.194?showDetails=true&showARIN=false&ext=netref2
>> #
>>
>> NetRange:       63.143.32.0 - 63.143.63.255
>> CIDR:           63.143.32.0/19
>> OriginAS:       AS46475
>> NetName:        LSN-DLLSTX-8
>> NetHandle:      NET-63-143-32-0-1
>> Parent:         NET-63-0-0-0-0
>> NetType:        Direct Allocation
>> Comment:        http://limestonenetworks.com/
>> RegDate:        2011-10-27
>> Updated:        2012-02-24
>> Ref:            http://whois.arin.net/rest/net/NET-63-143-32-0-1
>>
>> OrgName:        Limestone Networks, Inc.
>> OrgId:          LIMES-2
>> Address:        400 S. Akard Street
>> Address:        Suite 200
>> City:           Dallas
>> StateProv:      TX
>> PostalCode:     75202
>> Country:        US
>> RegDate:        2007-12-04
>> Updated:        2010-01-26
>> Comment:        http://limestonenetworks.com/
>> Ref:            http://whois.arin.net/rest/org/LIMES-2
>>
>> ReferralServer: rwhois://rwhois.limestonenetworks.com:4321
>>
>> OrgTechHandle: NOC2791-ARIN
>> OrgTechName:   Network Operations Center
>> OrgTechPhone:  +1-214-242-3600
>> OrgTechEmail:  noc at limestonenetworks.com
>> OrgTechRef:    http://whois.arin.net/rest/poc/NOC2791-ARIN
>>
>> OrgAbuseHandle: ABUSE1804-ARIN
>> OrgAbuseName:   Abuse
>> OrgAbusePhone:  +1-214-586-0555
>> OrgAbuseEmail:  abuse at limestonenetworks.com
>> OrgAbuseRef:    http://whois.arin.net/rest/poc/ABUSE1804-ARIN
>>
>> #
>> # ARIN WHOIS data and services are subject to the Terms of Use
>> # available at: https://www.arin.net/whois_tou.html
>> #
>>
>> Rafaels-MacBook-Air:~ rafael$ whois -h rwhois.limestonenetworks.com -p4321
>> 63.143.40.194
>> %rwhois V-1.5:003fff:00 rwhois.limestonenetworks.com (by Network
>> Solutions, Inc. V-1.5.9.5)
>> network:Class-Name:network
>> network:ID:LSN-BLK-63.143.32.0/19
>> network:Auth-Area:63.143.32.0/19
>> network:Network-Name:LSN-63.143.32.0/19
>> network:IP-Network:63.143.40.192/29
>> network:IP-Network-Block:63.143.40.192 - 63.143.40.199
>> network:Organization-Name:Virtual Brasil
>> network:Organization-City:São Vicente
>> network:Organization-State:OT
>> network:Organization-Zip:11320201
>> network:Organization-Country:BR
>> network:Tech-Contact;I:abuse at limestonenetworks.com
>> network:Admin-Contact;I:abuse at limestonenetworks.com
>> network:Updated-By:admin at limestonenetworks.com
>>
>> network:Class-Name:network
>> network:ID:LSN-BLK-63.143.32.0/19
>> network:Auth-Area:63.143.32.0/19
>> network:Network-Name:LSN-63.143.32.0/19
>> network:IP-Network:63.143.32.0/19
>> network:IP-Network-Block:63.143.32.0 - 63.143.63.255
>> network:Organization;I:Limestone Networks
>> network:Tech-Contact;I:ipadmin at limestonenetworks.com
>> network:Admin-Contact;I:admin at limestonenetworks.com
>> network:Created:20080129
>> network:Updated:20080129
>> network:Updated-By:admin at limestonenetworks.com
>>
>> %referral rwhois://root.rwhois.net:4321/auth-area=.
>> %ok
>>
>>
>> O outro provedor (DigitalOne) não publica info no rwhois….
>>
>>
>>
>> On 11/08/2012, at 16:38, Rosauro Baretta<rosauro at rline.com.br>  wrote:
>>
>>> Itamar,
>>>
>>> no caso nós já haviamos identificado os ips dos ataques, mas queria ver
>>> se tinha algo a mais que pude-se ser feito.
>>>
>>> no nosso caso o ataque foi para varios ips da nossa rede, sendo sempre
>>> Flood UDP ou ICMP.
>>>
>>> das origens dos ataques que eram aqui do Brasil conseguimos contatos com
>>> os detentores dos IPs, e 2 ips internacionais (212.124.124.52 e
>>> 63.143.40.194) neste caso mandamos e-mail para o abuse dos detentores dos
>>> IPs, mas ainda não recebemos nenhuma resposta (e nem sei se vamos receber
>>> resposta :-(  )
>>>
>>> o nosso link principal (maior) é da GVT, e infelizmente desde ontem a
>>> noite até o momento não conseguimos contato com ninguém da GVT que conseguiu
>>> nos ajudar, até agradeço se tiver algum partipante da GVT que possa entrar
>>> em contato comigo.. ou se alguém tiver o contato e puder me enviar em pvt.
>>>
>>> Em tempo desde o meio dia, nao tivemos mais problemas de ataques
>>>
>>> Obrigado a todos que colaboraram.
>>>
>>>
>>> Atenciosamente,
>>>
>>> Rosauro Baretta
>>> Fixo: 46 3555 8000
>>> Cel Claro: 46 8401 4560
>>> Cel TIM: 46 9975 2565
>>>
>>> Em 10-08-2012 19:19, Itamar Reis Peixoto escreveu:
>>>>
>>>> 2012/8/10 Rosauro Baretta<rosauro at rline.com.br>:
>>>>>
>>>>> Boa noite,
>>>>>
>>>>> gostaria de ajuda dos colegas, pois estamos passando pela seguinte
>>>>> situação:
>>>>>
>>>>> temos 2 links com GVT e OI, e estamos sofrendo ataques DOS/DDOS com
>>>>> destino
>>>>> a ips de nossos clientes... mas como a banda que vem no ataque é grande
>>>>> acaba derrubando toda a nossa rede em vários momentos, de momento o que
>>>>> melhor funciona é solicitar para as operadoras bloquearem do lado
>>>>> deles..
>>>>> mas o problema é a demora para isso ser feito....
>>>>>
>>>>> Também estamos anunciando as redes atacadas em apenas um link (e também
>>>>> ja
>>>>> testamos deixar sem anunciar as redes) ai conseguimos sucesso, mas o
>>>>> problema que ai o ataque logo aparece em outras redes...
>>>>>
>>>>> Aproveito para tirar uma duvida, a community  de Blackhole das
>>>>> operadoras,
>>>>> eu posso passar para a operadora o IP de origem que está me gerando o
>>>>> ataque
>>>>> ?
>>>>>
>>>>> e o que os colegas mais experientes no assunto me recomendam a fazer ?
>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> Atenciosamente,
>>>>>
>>>>> Rosauro Baretta
>>>>> Fixo: 46 3555 8000
>>>>> Cel Claro: 46 8401 4560
>>>>> Cel TIM: 46 9975 2565
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>> acredito que  é uma otima oportunidade para aprimorar seus conhecimentos
>>>> em bgp
>>>>
>>>> o primeiro passo é descobrir de onde vem o ataque e para onde vai,
>>>>
>>>> ferramentas como tcpdump, iptraf e outras poderao te ajudar.
>>>>
>>>>
>>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list