[GTER] RES: Ataque no bgp

Rodrigo Augusto rodrigo at 1telecom.com.br
Tue Feb 28 14:56:50 -03 2012


Opa!!!!!!! Amigo, por um acaso era o do bloco 173.192.38.115 ?!!??!?!!? se
for esse estava que tava atacando meu outro link....o pior é que é só um blk
da Embratel de 1 MB sem BGP nem nada....um bloco /29 da Embratel.....o que
não entendo é que passava mais de 15 MB de ataque quando só tenho 1 MB....


-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Rafael Galdino da Cunha
Enviada em: terça-feira, 28 de fevereiro de 2012 14:29
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Ataque no bgp

uma rb1200. onde tem 5 megas com operadora x e 5 megas com operadora y. em
são paulo.
hoje a cpu desceu para 15% que era o normal, mas ontem a noite e a
madrugada de hoje quando estavam atacando ficou em 75%

o problema que nem observei o ip corretamente para entrar em contato com os
datacenters, se não me engano um era softlayer.

a regra foi apenas de drop mesmo a porta 179 tcp except as das duas
operadoras.

o ataque não era para o /30
era para um ip tipo 200.200.200.1/24 ja numa interface interna do router.

ser espoofado so se fosse udp correto? ou já conseguem spoofar em tcp
utilizando origem qualquer ip?

por hora está ok, mas o cara lá ficou doidinho, e é a primeira vez que vejo
isso.

Em 28 de fevereiro de 2012 10:16, Patrick Barreto Petronetto <
patrickbp at gmail.com> escreveu:

> Se são sempre os mesmos ips, seu amigo pode solicitar que a operadora faça
> o bloqueio e depois informar os responsáveis pelos ips (data centers)
sobre
> o ataque.
>
> 2012/2/28 Rafael Galdino da Cunha <sup.rafaelgaldino at gmail.com>
>
> > Boa noite srs, hoje me deparei com um amigo que tem ASN e que sua
> > conexão bgp estava caindo, segundo uma operadora falou que poderia ser
> > problema físico cabos ou ataque, os cabos tudo ok, mas quando fomos
> > verificar realmente estava tendo ataque num ip de rede no roteador que
> > tem o bgp. Pelo que observamos era uma quantidade enorme de conexões
> > tcp porta 179 e conexões RST. O que fizemos paliativo foi dropar  tcp
> > 179 exceto dos dois ips peer das operadoras, mas a CPU que antes
> > ficava em 25% agora esta constantes 75%.  Alguém já passou por isso? O
> > pior que os ips era do USA e de datacenters...
> >
> > Att.
> > Rafael Galdino
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Att.

Rafael Galdino
--
gter list    https://eng.registro.br/mailman/listinfo/gter





More information about the gter mailing list