[GTER] Ataque no bgp
Rafael Galdino da Cunha
sup.rafaelgaldino at gmail.com
Tue Feb 28 14:29:16 -03 2012
uma rb1200. onde tem 5 megas com operadora x e 5 megas com operadora y. em
são paulo.
hoje a cpu desceu para 15% que era o normal, mas ontem a noite e a
madrugada de hoje quando estavam atacando ficou em 75%
o problema que nem observei o ip corretamente para entrar em contato com os
datacenters, se não me engano um era softlayer.
a regra foi apenas de drop mesmo a porta 179 tcp except as das duas
operadoras.
o ataque não era para o /30
era para um ip tipo 200.200.200.1/24 ja numa interface interna do router.
ser espoofado so se fosse udp correto? ou já conseguem spoofar em tcp
utilizando origem qualquer ip?
por hora está ok, mas o cara lá ficou doidinho, e é a primeira vez que vejo
isso.
Em 28 de fevereiro de 2012 10:16, Patrick Barreto Petronetto <
patrickbp at gmail.com> escreveu:
> Se são sempre os mesmos ips, seu amigo pode solicitar que a operadora faça
> o bloqueio e depois informar os responsáveis pelos ips (data centers) sobre
> o ataque.
>
> 2012/2/28 Rafael Galdino da Cunha <sup.rafaelgaldino at gmail.com>
>
> > Boa noite srs, hoje me deparei com um amigo que tem ASN e que sua
> > conexão bgp estava caindo, segundo uma operadora falou que poderia ser
> > problema físico cabos ou ataque, os cabos tudo ok, mas quando fomos
> > verificar realmente estava tendo ataque num ip de rede no roteador que
> > tem o bgp. Pelo que observamos era uma quantidade enorme de conexões
> > tcp porta 179 e conexões RST. O que fizemos paliativo foi dropar tcp
> > 179 exceto dos dois ips peer das operadoras, mas a CPU que antes
> > ficava em 25% agora esta constantes 75%. Alguém já passou por isso? O
> > pior que os ips era do USA e de datacenters...
> >
> > Att.
> > Rafael Galdino
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Att.
Rafael Galdino
More information about the gter
mailing list