[GTER] Queda Rede Completa

Adriano B. Lima sincymaster at gmail.com
Mon Dec 15 22:54:55 -02 2014


O problema é que recebo apenas uma rota default da operadora, então desse
modo não tenho como criar os filtros para as rotas da Arin, só a minha
operadora pode fazer isso? ou estou errado?

Em 15 de dezembro de 2014 15:20, Alexandre Silva <chima at g2.net.br> escreveu:
>
> Adriano,
>
> Minha opiniao, conhecendo a politica das operadoras, é que voce crie
> filtros em seu roteador de borda, bloqueando os IPs da Arin. Informe a
> operadora que voce fez isso para que ela libere seu trafego. Se voce deixar
> para a operadora resolver, mesmo sabendo que a origem do problema nao é
> sua, vai demorar.
>
> Abraco.
>
>
> *    Alexandre Silva - Chima*
>
>     G2Net Sul Telecom
>     Caxias do Sul-RS
>     chima at g2.net.br
>     www.g2.net.br
>
> Em 15 de dezembro de 2014 13:35, Adriano B. Lima <sincymaster at gmail.com>
> escreveu:
> >
> > Vou conversar com a operadora a respeito desse filtro.
> > Como eles conseguem gerar esse tráfego sem que as conexões sejam
> > estabelecidas com nossos roteadores ? eles simplesmente apontam o
> destino e
> > geram trafego como por exemplo com um btest ?
> >
> > Em 15 de dezembro de 2014 11:36, Patrick Tracanelli <
> > eksffa at freebsdbrasil.com.br> escreveu:
> > >
> > > Bom dia,
> > > > On 14/12/2014, at 21:50, Adriano B. Lima <sincymaster at gmail.com>
> > wrote:
> > > >
> > > > Estou repassando este e-mail para a lista na esperança de que alguém
>> > > > tenha passado por isso e possa me dar alguma ajuda.
> > > > Hoje passamos por um ataque que usou toda banda do nosso link de
> dados
> > > > (125M), deixando nossos serviços down. O endereço de origem
> > > 192.99.190.187
> > > > estava realizando conexões a um endereço de destino da nossa rede.
> > > > Este IP (
> > > > 192.99.190.187) fechou varias conexões com esse endereço da minha
> rede
> > > > utilizando varias portas diferentes e o alvo era sempre a o mesmo IP
> da
> > > > minha rede e a porta 80 (http).
> > >
> > > Ele estressou sua banda so com fluxo de entrada ou de fato fechava a
> > > sessão e gerava retorno? Um firewall simples resolveria, não?
> > >
> > > > Liguei na operadora e eles efetuaram o bloqueio do meu IP porque
> > segundo
> > > > eles só podem bloquear o IP de destino.
> > >
> > > Normal, a operadora provavelmente não fez um filtro, fez uma rota nula,
> > > portanto só destino. Mas se fizesse uma rota nula pro destino
> > > 192.99.190.187 (gerando ataque) evitaria sua resposta como um firewall
> > > teria feito também.
> > >
> > > > O estranho é que não vimos na
> > > > tabela de conexões do mikrotik nenhuma conexão estabelecida com esse
> > > > endereço 192.99.190.187, tudo era visto apenas via torch na interface
> > da
> > > > operadora, mesmo assim ele consumiu todo nosso link de dados.
> > >
> > > Então parece mesmo que foi um flood de entrada.
> > >
> > > > A duvida é a
> > > > seguinte, eles podem tentar essa conexão com outro endereço da nossa
> > > rede,
> > > > existe alguma forma conhecida por vocês que poderiam compartilhar
> para
> > > > evitar esse tipo de ataque?
> > >
> > > Evitar que seus anuncios cheguem na FR ou CA, ou especificamente pro
> > > AS16276 se sua operadora te der os meios (communities). Confirmar se o
> > > ataque não era respondido, filtrando com firewall a origem. Negociar
> com
> > a
> > > operadora um filtro do lado dela ou a possibilidade de colo de um
> > firewall
> > > seu la em cima, antes do trafego descer. Ligar no NOC da OVH
> > > (+1-855-684-5463) e informar que voce teve esse incidente e tem uma
> > > capilaridade estreita (125Mbit/s) e explicar que gostaria do apoio
> deles
> > > para mitigar/previnir o incidente novamente.
> > >
> > > Uma hipótese menos provável, é avaliar se tem alguma chance do ataque
> ter
> > > sido por nome ao invés de IP. É uma hipótese mais frágil mas se for
> > ataque
> > > de worm e afins pode ser o caso. Ai basta criar uma view de DNS que
> > isole o
> > > ataque, apontando os registros pra 127.0.0.1 sob a ótica da view
> > > estrangeira.
> > >
> > >
> > > > Agradeço desde já.
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > > --
> > > Patrick Tracanelli
> > >
> > > FreeBSD Brasil LTDA.
> > > Tel.: (31) 3516-0800
> > > 316601 at sip.freebsdbrasil.com.br
> > > http://www.freebsdbrasil.com.br
> > > "Long live Hanin Elias, Kim Deal!"
> > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list