[GTER] Queda Rede Completa
Adriano B. Lima
sincymaster at gmail.com
Mon Dec 15 13:35:24 -02 2014
Vou conversar com a operadora a respeito desse filtro.
Como eles conseguem gerar esse tráfego sem que as conexões sejam
estabelecidas com nossos roteadores ? eles simplesmente apontam o destino e
geram trafego como por exemplo com um btest ?
Em 15 de dezembro de 2014 11:36, Patrick Tracanelli <
eksffa at freebsdbrasil.com.br> escreveu:
>
> Bom dia,
> > On 14/12/2014, at 21:50, Adriano B. Lima <sincymaster at gmail.com> wrote:
> >
> > Estou repassando este e-mail para a lista na esperança de que alguém já
> > tenha passado por isso e possa me dar alguma ajuda.
> > Hoje passamos por um ataque que usou toda banda do nosso link de dados
> > (125M), deixando nossos serviços down. O endereço de origem
> 192.99.190.187
> > estava realizando conexões a um endereço de destino da nossa rede.
> > Este IP (
> > 192.99.190.187) fechou varias conexões com esse endereço da minha rede
> > utilizando varias portas diferentes e o alvo era sempre a o mesmo IP da
> > minha rede e a porta 80 (http).
>
> Ele estressou sua banda so com fluxo de entrada ou de fato fechava a
> sessão e gerava retorno? Um firewall simples resolveria, não?
>
> > Liguei na operadora e eles efetuaram o bloqueio do meu IP porque segundo
> > eles só podem bloquear o IP de destino.
>
> Normal, a operadora provavelmente não fez um filtro, fez uma rota nula,
> portanto só destino. Mas se fizesse uma rota nula pro destino
> 192.99.190.187 (gerando ataque) evitaria sua resposta como um firewall
> teria feito também.
>
> > O estranho é que não vimos na
> > tabela de conexões do mikrotik nenhuma conexão estabelecida com esse
> > endereço 192.99.190.187, tudo era visto apenas via torch na interface da
> > operadora, mesmo assim ele consumiu todo nosso link de dados.
>
> Então parece mesmo que foi um flood de entrada.
>
> > A duvida é a
> > seguinte, eles podem tentar essa conexão com outro endereço da nossa
> rede,
> > existe alguma forma conhecida por vocês que poderiam compartilhar para
> > evitar esse tipo de ataque?
>
> Evitar que seus anuncios cheguem na FR ou CA, ou especificamente pro
> AS16276 se sua operadora te der os meios (communities). Confirmar se o
> ataque não era respondido, filtrando com firewall a origem. Negociar com a
> operadora um filtro do lado dela ou a possibilidade de colo de um firewall
> seu la em cima, antes do trafego descer. Ligar no NOC da OVH
> (+1-855-684-5463) e informar que voce teve esse incidente e tem uma
> capilaridade estreita (125Mbit/s) e explicar que gostaria do apoio deles
> para mitigar/previnir o incidente novamente.
>
> Uma hipótese menos provável, é avaliar se tem alguma chance do ataque ter
> sido por nome ao invés de IP. É uma hipótese mais frágil mas se for ataque
> de worm e afins pode ser o caso. Ai basta criar uma view de DNS que isole o
> ataque, apontando os registros pra 127.0.0.1 sob a ótica da view
> estrangeira.
>
>
> > Agradeço desde já.
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
>
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 at sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list