[GTER] Queda Rede Completa

Alexandre Silva chima at g2.net.br
Mon Dec 15 15:20:40 -02 2014


Adriano,

Minha opiniao, conhecendo a politica das operadoras, é que voce crie
filtros em seu roteador de borda, bloqueando os IPs da Arin. Informe a
operadora que voce fez isso para que ela libere seu trafego. Se voce deixar
para a operadora resolver, mesmo sabendo que a origem do problema nao é
sua, vai demorar.

Abraco.


*    Alexandre Silva - Chima*

    G2Net Sul Telecom
    Caxias do Sul-RS
    chima at g2.net.br
    www.g2.net.br

Em 15 de dezembro de 2014 13:35, Adriano B. Lima <sincymaster at gmail.com>
escreveu:
>
> Vou conversar com a operadora a respeito desse filtro.
> Como eles conseguem gerar esse tráfego sem que as conexões sejam
> estabelecidas com nossos roteadores ? eles simplesmente apontam o destino e
> geram trafego como por exemplo com um btest ?
>
> Em 15 de dezembro de 2014 11:36, Patrick Tracanelli <
> eksffa at freebsdbrasil.com.br> escreveu:
> >
> > Bom dia,
> > > On 14/12/2014, at 21:50, Adriano B. Lima <sincymaster at gmail.com>
> wrote:
> > >
> > > Estou repassando este e-mail para a lista na esperança de que alguém já
> > > tenha passado por isso e possa me dar alguma ajuda.
> > > Hoje passamos por um ataque que usou toda banda do nosso link de dados
> > > (125M), deixando nossos serviços down. O endereço de origem
> > 192.99.190.187
> > > estava realizando conexões a um endereço de destino da nossa rede.
> > > Este IP (
> > > 192.99.190.187) fechou varias conexões com esse endereço da minha rede
> > > utilizando varias portas diferentes e o alvo era sempre a o mesmo IP da
> > > minha rede e a porta 80 (http).
> >
> > Ele estressou sua banda so com fluxo de entrada ou de fato fechava a
> > sessão e gerava retorno? Um firewall simples resolveria, não?
> >
> > > Liguei na operadora e eles efetuaram o bloqueio do meu IP porque
> segundo
> > > eles só podem bloquear o IP de destino.
> >
> > Normal, a operadora provavelmente não fez um filtro, fez uma rota nula,
> > portanto só destino. Mas se fizesse uma rota nula pro destino
> > 192.99.190.187 (gerando ataque) evitaria sua resposta como um firewall
> > teria feito também.
> >
> > > O estranho é que não vimos na
> > > tabela de conexões do mikrotik nenhuma conexão estabelecida com esse
> > > endereço 192.99.190.187, tudo era visto apenas via torch na interface
> da
> > > operadora, mesmo assim ele consumiu todo nosso link de dados.
> >
> > Então parece mesmo que foi um flood de entrada.
> >
> > > A duvida é a
> > > seguinte, eles podem tentar essa conexão com outro endereço da nossa
> > rede,
> > > existe alguma forma conhecida por vocês que poderiam compartilhar para
> > > evitar esse tipo de ataque?
> >
> > Evitar que seus anuncios cheguem na FR ou CA, ou especificamente pro
> > AS16276 se sua operadora te der os meios (communities). Confirmar se o
> > ataque não era respondido, filtrando com firewall a origem. Negociar com
> a
> > operadora um filtro do lado dela ou a possibilidade de colo de um
> firewall
> > seu la em cima, antes do trafego descer. Ligar no NOC da OVH
> > (+1-855-684-5463) e informar que voce teve esse incidente e tem uma
> > capilaridade estreita (125Mbit/s) e explicar que gostaria do apoio deles
> > para mitigar/previnir o incidente novamente.
> >
> > Uma hipótese menos provável, é avaliar se tem alguma chance do ataque ter
> > sido por nome ao invés de IP. É uma hipótese mais frágil mas se for
> ataque
> > de worm e afins pode ser o caso. Ai basta criar uma view de DNS que
> isole o
> > ataque, apontando os registros pra 127.0.0.1 sob a ótica da view
> > estrangeira.
> >
> >
> > > Agradeço desde já.
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > Patrick Tracanelli
> >
> > FreeBSD Brasil LTDA.
> > Tel.: (31) 3516-0800
> > 316601 at sip.freebsdbrasil.com.br
> > http://www.freebsdbrasil.com.br
> > "Long live Hanin Elias, Kim Deal!"
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list