[GTER] Melhores Práticas em Ataques DOS/DDOS

Rafael Galdino da Cunha sup.rafaelgaldino at gmail.com
Tue Aug 14 14:16:37 -03 2012 

zabbix/cacti/nagios etc... use e monitore os pacotes unicast, e questão de
Pps, com isso se for um ataque de flood etc.. fica bastante visivel.
outra coisa é o que você já fez que é o blackhole.
e agora é monitorar.




Em 14 de agosto de 2012 08:09, Lucas Willian Bocchi
<lucas.bocchi at gmail.com>escreveu:

> Bom dia Rosauro
>
> Se você não tem regras no roteador de borda, pode deixar desativado o
> conntracking sem problemas.
>
> Quanto ao NTOP, eu uso e recomendo, porém, é bom você instalar ele
> numa outra máquina e montar um netflow / sflow nesse cara e fazer o
> roteador alimentar o cara com as informações de fluxo.
>
>
> Em 13 de agosto de 2012 23:01, Rosauro Baretta <rosauro at rline.com.br>
> escreveu:
> > Pessoal,
> >
> > agora já conseguimos implementar o blackhole pela GVT, e as coisas já
> estão
> > mais faceis, mas estou procurando melhorar alguns itens para facilitar o
> > nosso trabalho em outros casos como estes.
> >
> > - Para melhorar a performance do roteador (usamos vyatta aqui para BGP) é
> > interessante diminuir o tempo que o roteador mantem o rastreamento das
> > conexoes ?
> > - alguém indica algum aplicativo para monitorar alguma anomalia no
> trafego
> > do provedor, exemplo o NTOP ?
> >
> >
> >
> > Atenciosamente,
> >
> > Rosauro Baretta
> > Fixo: 46 3555 8000
> > Cel Claro: 46 8401 4560
> > Cel TIM: 46 9975 2565
> >
> > Em 12-08-2012 18:16, Rafael Cresci escreveu:
> >>
> >> Basta entrar em contato com os brasileiros donos destes IPs tb:
> >>
> >>
> >> rafael$ whois 63.143.40.194
> >> #
> >> # Query terms are ambiguous.  The query is assumed to be:
> >> #     "n 63.143.40.194"
> >> #
> >> # Use "?" to get help.
> >> #
> >>
> >> #
> >> # The following results may also be obtained via:
> >> #
> >>
> http://whois.arin.net/rest/nets;q=63.143.40.194?showDetails=true&showARIN=false&ext=netref2
> >> #
> >>
> >> NetRange:       63.143.32.0 - 63.143.63.255
> >> CIDR:           63.143.32.0/19
> >> OriginAS:       AS46475
> >> NetName:        LSN-DLLSTX-8
> >> NetHandle:      NET-63-143-32-0-1
> >> Parent:         NET-63-0-0-0-0
> >> NetType:        Direct Allocation
> >> Comment:        http://limestonenetworks.com/
> >> RegDate:        2011-10-27
> >> Updated:        2012-02-24
> >> Ref:            http://whois.arin.net/rest/net/NET-63-143-32-0-1
> >>
> >> OrgName:        Limestone Networks, Inc.
> >> OrgId:          LIMES-2
> >> Address:        400 S. Akard Street
> >> Address:        Suite 200
> >> City:           Dallas
> >> StateProv:      TX
> >> PostalCode:     75202
> >> Country:        US
> >> RegDate:        2007-12-04
> >> Updated:        2010-01-26
> >> Comment:        http://limestonenetworks.com/
> >> Ref:            http://whois.arin.net/rest/org/LIMES-2
> >>
> >> ReferralServer: rwhois://rwhois.limestonenetworks.com:4321
> >>
> >> OrgTechHandle: NOC2791-ARIN
> >> OrgTechName:   Network Operations Center
> >> OrgTechPhone:  +1-214-242-3600
> >> OrgTechEmail:  noc at limestonenetworks.com
> >> OrgTechRef:    http://whois.arin.net/rest/poc/NOC2791-ARIN
> >>
> >> OrgAbuseHandle: ABUSE1804-ARIN
> >> OrgAbuseName:   Abuse
> >> OrgAbusePhone:  +1-214-586-0555
> >> OrgAbuseEmail:  abuse at limestonenetworks.com
> >> OrgAbuseRef:    http://whois.arin.net/rest/poc/ABUSE1804-ARIN
> >>
> >> #
> >> # ARIN WHOIS data and services are subject to the Terms of Use
> >> # available at: https://www.arin.net/whois_tou.html
> >> #
> >>
> >> Rafaels-MacBook-Air:~ rafael$ whois -h rwhois.limestonenetworks.com-p4321
> >> 63.143.40.194
> >> %rwhois V-1.5:003fff:00 rwhois.limestonenetworks.com (by Network
> >> Solutions, Inc. V-1.5.9.5)
> >> network:Class-Name:network
> >> network:ID:LSN-BLK-63.143.32.0/19
> >> network:Auth-Area:63.143.32.0/19
> >> network:Network-Name:LSN-63.143.32.0/19
> >> network:IP-Network:63.143.40.192/29
> >> network:IP-Network-Block:63.143.40.192 - 63.143.40.199
> >> network:Organization-Name:Virtual Brasil
> >> network:Organization-City:São Vicente
> >> network:Organization-State:OT
> >> network:Organization-Zip:11320201
> >> network:Organization-Country:BR
> >> network:Tech-Contact;I:abuse at limestonenetworks.com
> >> network:Admin-Contact;I:abuse at limestonenetworks.com
> >> network:Updated-By:admin at limestonenetworks.com
> >>
> >> network:Class-Name:network
> >> network:ID:LSN-BLK-63.143.32.0/19
> >> network:Auth-Area:63.143.32.0/19
> >> network:Network-Name:LSN-63.143.32.0/19
> >> network:IP-Network:63.143.32.0/19
> >> network:IP-Network-Block:63.143.32.0 - 63.143.63.255
> >> network:Organization;I:Limestone Networks
> >> network:Tech-Contact;I:ipadmin at limestonenetworks.com
> >> network:Admin-Contact;I:admin at limestonenetworks.com
> >> network:Created:20080129
> >> network:Updated:20080129
> >> network:Updated-By:admin at limestonenetworks.com
> >>
> >> %referral rwhois://root.rwhois.net:4321/auth-area=.
> >> %ok
> >>
> >>
> >> O outro provedor (DigitalOne) não publica info no rwhois….
> >>
> >>
> >>
> >> On 11/08/2012, at 16:38, Rosauro Baretta<rosauro at rline.com.br>  wrote:
> >>
> >>> Itamar,
> >>>
> >>> no caso nós já haviamos identificado os ips dos ataques, mas queria ver
> >>> se tinha algo a mais que pude-se ser feito.
> >>>
> >>> no nosso caso o ataque foi para varios ips da nossa rede, sendo sempre
> >>> Flood UDP ou ICMP.
> >>>
> >>> das origens dos ataques que eram aqui do Brasil conseguimos contatos
> com
> >>> os detentores dos IPs, e 2 ips internacionais (212.124.124.52 e
> >>> 63.143.40.194) neste caso mandamos e-mail para o abuse dos detentores
> dos
> >>> IPs, mas ainda não recebemos nenhuma resposta (e nem sei se vamos
> receber
> >>> resposta :-(  )
> >>>
> >>> o nosso link principal (maior) é da GVT, e infelizmente desde ontem a
> >>> noite até o momento não conseguimos contato com ninguém da GVT que
> conseguiu
> >>> nos ajudar, até agradeço se tiver algum partipante da GVT que possa
> entrar
> >>> em contato comigo.. ou se alguém tiver o contato e puder me enviar em
> pvt.
> >>>
> >>> Em tempo desde o meio dia, nao tivemos mais problemas de ataques
> >>>
> >>> Obrigado a todos que colaboraram.
> >>>
> >>>
> >>> Atenciosamente,
> >>>
> >>> Rosauro Baretta
> >>> Fixo: 46 3555 8000
> >>> Cel Claro: 46 8401 4560
> >>> Cel TIM: 46 9975 2565
> >>>
> >>> Em 10-08-2012 19:19, Itamar Reis Peixoto escreveu:
> >>>>
> >>>> 2012/8/10 Rosauro Baretta<rosauro at rline.com.br>:
> >>>>>
> >>>>> Boa noite,
> >>>>>
> >>>>> gostaria de ajuda dos colegas, pois estamos passando pela seguinte
> >>>>> situação:
> >>>>>
> >>>>> temos 2 links com GVT e OI, e estamos sofrendo ataques DOS/DDOS com
> >>>>> destino
> >>>>> a ips de nossos clientes... mas como a banda que vem no ataque é
> grande
> >>>>> acaba derrubando toda a nossa rede em vários momentos, de momento o
> que
> >>>>> melhor funciona é solicitar para as operadoras bloquearem do lado
> >>>>> deles..
> >>>>> mas o problema é a demora para isso ser feito....
> >>>>>
> >>>>> Também estamos anunciando as redes atacadas em apenas um link (e
> também
> >>>>> ja
> >>>>> testamos deixar sem anunciar as redes) ai conseguimos sucesso, mas o
> >>>>> problema que ai o ataque logo aparece em outras redes...
> >>>>>
> >>>>> Aproveito para tirar uma duvida, a community  de Blackhole das
> >>>>> operadoras,
> >>>>> eu posso passar para a operadora o IP de origem que está me gerando o
> >>>>> ataque
> >>>>> ?
> >>>>>
> >>>>> e o que os colegas mais experientes no assunto me recomendam a fazer
> ?
> >>>>>
> >>>>>
> >>>>>
> >>>>> --
> >>>>> Atenciosamente,
> >>>>>
> >>>>> Rosauro Baretta
> >>>>> Fixo: 46 3555 8000
> >>>>> Cel Claro: 46 8401 4560
> >>>>> Cel TIM: 46 9975 2565
> >>>>> --
> >>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>>> acredito que  é uma otima oportunidade para aprimorar seus
> conhecimentos
> >>>> em bgp
> >>>>
> >>>> o primeiro passo é descobrir de onde vem o ataque e para onde vai,
> >>>>
> >>>> ferramentas como tcpdump, iptraf e outras poderao te ajudar.
> >>>>
> >>>>
> >>>>
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Att.

Rafael Galdino

More information about the gter mailing list