[GTER] Ataque no bgp
Alexandre Oliveira Bonatti
bonatti at algartecnologia.com.br
Tue Feb 28 09:35:10 -03 2012
Rafael,
Qual router você esta usando? Pois esse aumento de CPU não deveria ocorrer
em routers que processam ACL em hardware.
Realmente o correto é que você possua uma ACL permitindo somente os peers
BGP conectarem na porta TCP/179, porém existe uma possibilidade grande do
cara spoofar o ip de origem como sendo o IP da operadora e mandar um syn
flood para o seu router. Nesse caso a ACL não iria adiantar, somente
algumas features avançadas do tipo CoPP da Cisco que você consegue fazer
um shapping das conexões de control-plane que são tratadas em CPU.
Att.
Alexandre Bonatti
gter-bounces at eng.registro.br gravou em 28/02/2012 01:24:26:
> De: Rafael Galdino da Cunha <sup.rafaelgaldino at gmail.com>
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Data: 28/02/2012 09:10
> Assunto: [GTER] Ataque no bgp
> Enviado por: gter-bounces at eng.registro.br
>
> Boa noite srs, hoje me deparei com um amigo que tem ASN e que sua
> conexão bgp estava caindo, segundo uma operadora falou que poderia ser
> problema físico cabos ou ataque, os cabos tudo ok, mas quando fomos
> verificar realmente estava tendo ataque num ip de rede no roteador que
> tem o bgp. Pelo que observamos era uma quantidade enorme de conexões
> tcp porta 179 e conexões RST. O que fizemos paliativo foi dropar tcp
> 179 exceto dos dois ips peer das operadoras, mas a CPU que antes
> ficava em 25% agora esta constantes 75%. Alguém já passou por isso? O
> pior que os ips era do USA e de datacenters...
>
> Att.
> Rafael Galdino
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list