[GTER] Queda Rede Completa

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Mon Dec 15 11:36:41 -02 2014 

Bom dia,
> On 14/12/2014, at 21:50, Adriano B. Lima <sincymaster at gmail.com> wrote:
> 
> Estou repassando este e-mail para a lista na esperança de que alguém já
> tenha passado por isso e possa me dar alguma ajuda.
> Hoje passamos por um ataque que usou toda banda do nosso link de dados
> (125M), deixando nossos serviços down. O endereço de origem 192.99.190.187
> estava realizando conexões a um endereço de destino da nossa rede.
> Este IP (
> 192.99.190.187) fechou varias conexões com esse endereço da minha rede
> utilizando varias portas diferentes e o alvo era sempre a o mesmo IP da
> minha rede e a porta 80 (http).

Ele estressou sua banda so com fluxo de entrada ou de fato fechava a sessão e gerava retorno? Um firewall simples resolveria, não?

> Liguei na operadora e eles efetuaram o bloqueio do meu IP porque segundo
> eles só podem bloquear o IP de destino.

Normal, a operadora provavelmente não fez um filtro, fez uma rota nula, portanto só destino. Mas se fizesse uma rota nula pro destino 192.99.190.187 (gerando ataque) evitaria sua resposta como um firewall teria feito também.

> O estranho é que não vimos na
> tabela de conexões do mikrotik nenhuma conexão estabelecida com esse
> endereço 192.99.190.187, tudo era visto apenas via torch na interface da
> operadora, mesmo assim ele consumiu todo nosso link de dados.

Então parece mesmo que foi um flood de entrada.

> A duvida é a
> seguinte, eles podem tentar essa conexão com outro endereço da nossa rede,
> existe alguma forma conhecida por vocês que poderiam compartilhar para
> evitar esse tipo de ataque?

Evitar que seus anuncios cheguem na FR ou CA, ou especificamente pro AS16276 se sua operadora te der os meios (communities). Confirmar se o ataque não era respondido, filtrando com firewall a origem. Negociar com a operadora um filtro do lado dela ou a possibilidade de colo de um firewall seu la em cima, antes do trafego descer. Ligar no NOC da OVH (+1-855-684-5463) e informar que voce teve esse incidente e tem uma capilaridade estreita (125Mbit/s) e explicar que gostaria do apoio deles para mitigar/previnir o incidente novamente.

Uma hipótese menos provável, é avaliar se tem alguma chance do ataque ter sido por nome ao invés de IP. É uma hipótese mais frágil mas se for ataque de worm e afins pode ser o caso. Ai basta criar uma view de DNS que isole o ataque, apontando os registros pra 127.0.0.1 sob a ótica da view estrangeira. 


> Agradeço desde já.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

More information about the gter mailing list