[GTER] Ataque no bgp

[Henrique de Moraes Holschuh]

On 28-02-2012 01:24, Rafael Galdino da Cunha wrote:
> Boa noite srs, hoje me deparei com um amigo que tem ASN e que sua
> conexão bgp estava caindo, segundo uma operadora falou que poderia
> ser problema físico cabos ou ataque, os cabos tudo ok, mas quando
> fomos verificar realmente estava tendo ataque num ip de rede no
> roteador que tem o bgp. Pelo que observamos era uma quantidade enorme
> de conexões tcp porta 179 e conexões RST. O que fizemos paliativo foi
> dropar  tcp 179 exceto dos dois ips peer das operadoras, mas a CPU
> que antes ficava em 25% agora esta constantes 75%.  Alguém já passou
> por isso? O pior que os ips era do USA e de datacenters...

Não é quem já passou por isso, é quem ainda não passou por isso.

Lockdown em speaker eBGP é obrigatório.  Se você não faz, não só seu
enlace é atacado, como você ainda pode ser usado para atacar seus
vizinhos indiretamente.

E se a sessão BGP caiu com um TCP RST, nem MD5 você estava usando.
Se bem que MD5 tem que ser a última linha de defesa, e não deve ser
usado sozinho (normalmente, consome CPU).  Antes dele, devem existir
paredes formadas pelo GTSM/RFC3682/RFC5082, e por ACLs por hardware.

Se você usou um equipamento na sua borda sem filtragem por hardware,
coloque uma switch gerenciável na frente que seja capaz de filtragem em
hardware.  Dependendo da topologia, pedir para o upstream filtrar
protocolos de roteamento nos roteadores de acesso dele já resolve.

E se fizer QoS na borda, lembre-se que as sessões eBGP tem que ter
prioridade muito alta.  Se o enlace lotar, elas *não* podem ser sufocadas.

-- 
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.