[GTER] Queda Rede Completa

Adriano B. Lima sincymaster at gmail.com
Mon Dec 15 14:56:03 -02 2014


Ele estressou sua banda so com
fluxo de entrada ou de fato fechava a sessão e gerava retorno? Um
firewall simples resolveria, não?

Eles estouraram sim a banda somente com fluxo de entrada.


Em 15 de dezembro de 2014 14:22, Antonio Modesto <modesto at isimples.com.br>
escreveu:
>
>
>
> On 2014-12-15 11:36 am, Patrick Tracanelli wrote:
>
> > Bom dia,
> >
> >>
> On 14/12/2014, at 21:50, Adriano B. Lima <sincymaster at gmail.com> wrote:
> Estou repassando este e-mail para a lista na esperança de que alguém já
> tenha passado por isso e possa me dar alguma ajuda. Hoje passamos por um
> ataque que usou toda banda do nosso link de dados (125M), deixando
> nossos serviços down. O endereço de origem 192.99.190.187 estava
> realizando conexões a um endereço de destino da nossa rede. Este IP (
> 192.99.190.187) fechou varias conexões com esse endereço da minha rede
> utilizando varias portas diferentes e o alvo era sempre a o mesmo IP da
> minha rede e a porta 80 (http).
> >
> > Ele estressou sua banda so com
> fluxo de entrada ou de fato fechava a sessão e gerava retorno? Um
> firewall simples resolveria, não?
> >
> >> Liguei na operadora e eles
> efetuaram o bloqueio do meu IP porque segundo eles só podem bloquear o
> IP de destino.
> >
> > Normal, a operadora provavelmente não fez um filtro,
> fez uma rota nula, portanto só destino. Mas se fizesse uma rota nula pro
> destino 192.99.190.187 (gerando ataque) evitaria sua resposta como um
> firewall teria feito também.
> > O estranho é que não vimos na tabela de
> conexões do mikrotik nenhuma cone
> >
> >> da operadora, mesmo assim ele
> consumiu todo nosso link de dados.
> >>
> >> Então parece mesmo que foi um
> flood de entrada.
> >> A duvida &ea
> > nte, eles podem tentar essa conexão
> com outro endereço da nossa rede, existe alguma forma conhecida por
> vocês que poderiam compartilhar para evitar esse tipo de
> >
> >> a
> operadora te der os meios (communities). Confirmar se o ataque não era
> respondido, filtrando com firewall a origem. Negociar com a operadora um
> filtro do lado dela ou a possibilidade de colo de um firewal
> > ima,
> antes do trafego descer. Ligar no NOC da OVH (+1-855-684-5463) e
> informar que voce teve esse incidente e tem uma capilaridade estreita
> (125Mbit/s) e explicar que gostaria do apoio deles para mitigar/previnir
> o incidente novamente. Uma hipótese menos provável, é avaliar se tem
> alguma chance do ataque ter sido por nome ao invés de IP. É uma hipótese
> mais frágil mas se for ataque de worm e afins pode ser o caso. Ai basta
> criar uma view de DNS que isole o ataque, apontando os registros pra
> 127.0.0.1 sob a ótica da view estrangeira.
> >
> > Patrick, essa
> alternativa de evitar que os prefixos cheguem a países conhecidos por
> esse tipo de ataque pode ser inútil caso o provedor da origem mantenha
> uma rota default, ou estou enganado? Falo isso pois aqui no Brasil é uma
> prática muito comum receber a rota default juntamente com
> full-routing.
> >
> > Agradeço desde já. -- gter list
> https://eng.registro.br/mailman/listinfo/gter [2]
> >
> > --
> > Patrick
> Tracanelli
> >
> > FreeBSD Brasil LTDA.
> > Tel.: (31) 3516-0800
> >
> 316601 at sip.freebsdbrasil.com.br
> > http://www.freebsdbrasil.com.br [1]
> >
> "Long live Hanin Elias, Ki> mailman/listinfo/gter
>
> --
>
>
>
>
> Links:
> ------
> [1] http://www.freebsdbrasil.com.br
> [2]
> https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list