[GTER] Queda Rede Completa

Mon Dec 15 14:22:51 -02 2014

 

On 2014-12-15 11:36 am, Patrick Tracanelli wrote: 

> Bom dia,
> 
>>
On 14/12/2014, at 21:50, Adriano B. Lima <sincymaster at gmail.com> wrote:
Estou repassando este e-mail para a lista na esperança de que alguém já
tenha passado por isso e possa me dar alguma ajuda. Hoje passamos por um
ataque que usou toda banda do nosso link de dados (125M), deixando
nossos serviços down. O endereço de origem 192.99.190.187 estava
realizando conexões a um endereço de destino da nossa rede. Este IP (
192.99.190.187) fechou varias conexões com esse endereço da minha rede
utilizando varias portas diferentes e o alvo era sempre a o mesmo IP da
minha rede e a porta 80 (http).
> 
> Ele estressou sua banda so com
fluxo de entrada ou de fato fechava a sessão e gerava retorno? Um
firewall simples resolveria, não?
> 
>> Liguei na operadora e eles
efetuaram o bloqueio do meu IP porque segundo eles só podem bloquear o
IP de destino.
> 
> Normal, a operadora provavelmente não fez um filtro,
fez uma rota nula, portanto só destino. Mas se fizesse uma rota nula pro
destino 192.99.190.187 (gerando ataque) evitaria sua resposta como um
firewall teria feito também.
> O estranho é que não vimos na tabela de
conexões do mikrotik nenhuma cone
> 
>> da operadora, mesmo assim ele
consumiu todo nosso link de dados. 
>> 
>> Então parece mesmo que foi um
flood de entrada.
>> A duvida &ea
> nte, eles podem tentar essa conexão
com outro endereço da nossa rede, existe alguma forma conhecida por
vocês que poderiam compartilhar para evitar esse tipo de 
> 
>> a
operadora te der os meios (communities). Confirmar se o ataque não era
respondido, filtrando com firewall a origem. Negociar com a operadora um
filtro do lado dela ou a possibilidade de colo de um firewal
> ima,
antes do trafego descer. Ligar no NOC da OVH (+1-855-684-5463) e
informar que voce teve esse incidente e tem uma capilaridade estreita
(125Mbit/s) e explicar que gostaria do apoio deles para mitigar/previnir
o incidente novamente. Uma hipótese menos provável, é avaliar se tem
alguma chance do ataque ter sido por nome ao invés de IP. É uma hipótese
mais frágil mas se for ataque de worm e afins pode ser o caso. Ai basta
criar uma view de DNS que isole o ataque, apontando os registros pra
127.0.0.1 sob a ótica da view estrangeira.
> 
> Patrick, essa
alternativa de evitar que os prefixos cheguem a países conhecidos por
esse tipo de ataque pode ser inútil caso o provedor da origem mantenha
uma rota default, ou estou enganado? Falo isso pois aqui no Brasil é uma
prática muito comum receber a rota default juntamente com
full-routing.
> 
> Agradeço desde já. -- gter list
https://eng.registro.br/mailman/listinfo/gter [2] 
> 
> --
> Patrick
Tracanelli
> 
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
>
316601 at sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br [1]
>
"Long live Hanin Elias, Ki> mailman/listinfo/gter

-- 


Links:
------
[1] http://www.freebsdbrasil.com.br
[2]
https://eng.registro.br/mailman/listinfo/gter