[GTER] Queda Rede Completa

Antonio Carlos Pina antoniocarlospina at gmail.com
Mon Dec 15 15:57:45 -02 2014


Exato.

E ainda podem usar ips falsos. Qualquer protocolo, porta, etc.



> Em 15/12/2014, às 13:35, Adriano B. Lima <sincymaster at gmail.com> escreveu:
> 
> Vou conversar com a operadora a respeito desse filtro.
> Como eles conseguem gerar esse tráfego sem que as conexões sejam
> estabelecidas com nossos roteadores ? eles simplesmente apontam o destino e
> geram trafego como por exemplo com um btest ?
> 
> Em 15 de dezembro de 2014 11:36, Patrick Tracanelli <
> eksffa at freebsdbrasil.com.br> escreveu:
>> 
>> Bom dia,
>>> On 14/12/2014, at 21:50, Adriano B. Lima <sincymaster at gmail.com> wrote:
>>> 
>>> Estou repassando este e-mail para a lista na esperança de que alguém já
>>> tenha passado por isso e possa me dar alguma ajuda.
>>> Hoje passamos por um ataque que usou toda banda do nosso link de dados
>>> (125M), deixando nossos serviços down. O endereço de origem
>> 192.99.190.187
>>> estava realizando conexões a um endereço de destino da nossa rede.
>>> Este IP (
>>> 192.99.190.187) fechou varias conexões com esse endereço da minha rede
>>> utilizando varias portas diferentes e o alvo era sempre a o mesmo IP da
>>> minha rede e a porta 80 (http).
>> 
>> Ele estressou sua banda so com fluxo de entrada ou de fato fechava a
>> sessão e gerava retorno? Um firewall simples resolveria, não?
>> 
>>> Liguei na operadora e eles efetuaram o bloqueio do meu IP porque segundo
>>> eles só podem bloquear o IP de destino.
>> 
>> Normal, a operadora provavelmente não fez um filtro, fez uma rota nula,
>> portanto só destino. Mas se fizesse uma rota nula pro destino
>> 192.99.190.187 (gerando ataque) evitaria sua resposta como um firewall
>> teria feito também.
>> 
>>> O estranho é que não vimos na
>>> tabela de conexões do mikrotik nenhuma conexão estabelecida com esse
>>> endereço 192.99.190.187, tudo era visto apenas via torch na interface da
>>> operadora, mesmo assim ele consumiu todo nosso link de dados.
>> 
>> Então parece mesmo que foi um flood de entrada.
>> 
>>> A duvida é a
>>> seguinte, eles podem tentar essa conexão com outro endereço da nossa
>> rede,
>>> existe alguma forma conhecida por vocês que poderiam compartilhar para
>>> evitar esse tipo de ataque?
>> 
>> Evitar que seus anuncios cheguem na FR ou CA, ou especificamente pro
>> AS16276 se sua operadora te der os meios (communities). Confirmar se o
>> ataque não era respondido, filtrando com firewall a origem. Negociar com a
>> operadora um filtro do lado dela ou a possibilidade de colo de um firewall
>> seu la em cima, antes do trafego descer. Ligar no NOC da OVH
>> (+1-855-684-5463) e informar que voce teve esse incidente e tem uma
>> capilaridade estreita (125Mbit/s) e explicar que gostaria do apoio deles
>> para mitigar/previnir o incidente novamente.
>> 
>> Uma hipótese menos provável, é avaliar se tem alguma chance do ataque ter
>> sido por nome ao invés de IP. É uma hipótese mais frágil mas se for ataque
>> de worm e afins pode ser o caso. Ai basta criar uma view de DNS que isole o
>> ataque, apontando os registros pra 127.0.0.1 sob a ótica da view
>> estrangeira.
>> 
>> 
>>> Agradeço desde já.
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
>> --
>> Patrick Tracanelli
>> 
>> FreeBSD Brasil LTDA.
>> Tel.: (31) 3516-0800
>> 316601 at sip.freebsdbrasil.com.br
>> http://www.freebsdbrasil.com.br
>> "Long live Hanin Elias, Kim Deal!"
>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list