[GTER] Ataque no bgp

Rafael Galdino da Cunha sup.rafaelgaldino at gmail.com
Tue Feb 28 14:29:16 -03 2012


uma rb1200. onde tem 5 megas com operadora x e 5 megas com operadora y. em
são paulo.
hoje a cpu desceu para 15% que era o normal, mas ontem a noite e a
madrugada de hoje quando estavam atacando ficou em 75%

o problema que nem observei o ip corretamente para entrar em contato com os
datacenters, se não me engano um era softlayer.

a regra foi apenas de drop mesmo a porta 179 tcp except as das duas
operadoras.

o ataque não era para o /30
era para um ip tipo 200.200.200.1/24 ja numa interface interna do router.

ser espoofado so se fosse udp correto? ou já conseguem spoofar em tcp
utilizando origem qualquer ip?

por hora está ok, mas o cara lá ficou doidinho, e é a primeira vez que vejo
isso.

Em 28 de fevereiro de 2012 10:16, Patrick Barreto Petronetto <
patrickbp at gmail.com> escreveu:

> Se são sempre os mesmos ips, seu amigo pode solicitar que a operadora faça
> o bloqueio e depois informar os responsáveis pelos ips (data centers) sobre
> o ataque.
>
> 2012/2/28 Rafael Galdino da Cunha <sup.rafaelgaldino at gmail.com>
>
> > Boa noite srs, hoje me deparei com um amigo que tem ASN e que sua
> > conexão bgp estava caindo, segundo uma operadora falou que poderia ser
> > problema físico cabos ou ataque, os cabos tudo ok, mas quando fomos
> > verificar realmente estava tendo ataque num ip de rede no roteador que
> > tem o bgp. Pelo que observamos era uma quantidade enorme de conexões
> > tcp porta 179 e conexões RST. O que fizemos paliativo foi dropar  tcp
> > 179 exceto dos dois ips peer das operadoras, mas a CPU que antes
> > ficava em 25% agora esta constantes 75%.  Alguém já passou por isso? O
> > pior que os ips era do USA e de datacenters...
> >
> > Att.
> > Rafael Galdino
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Att.

Rafael Galdino



More information about the gter mailing list