[GTER] Ataque Inundação UDP

Mike Tesliuk mike at ultra.net.br
Fri Jan 17 15:48:45 -02 2014


Nós temos um caso de um cliente que recebe ataques frequentemente, nós
trabalhamos em dois niveis com os ataques, no primeiro nivel ao ser
detectado o ataque baseado em quantidade de pacotes, nós removemos todos os
anuncios internacionais para esta faixa de ip, ou seja, mantemos apenas
trafego do Brasil, não deixamos o nosso cliente completamente fora ja que o
publico principal dele é Brasil isso não é um grande problema, se em 3
minutos o ataque não cessar para manter o bom funcionamento da rede nós
colocamos também através de communities o ip atacado em blackhole, com isso
tiramos o trafego da rede, infelizmente o cliente fica fora, reativamos
tudo novamente em 2 horas e se o ataque voltar passa por todo o processo
novamente.

Existem empresas que oferecem proteção para ddos , você fecha uma vpn com
eles , anuncia o seu bloco por eles (normalmente fora do brasil) e então
eles filtram pra voce o trafego, se você está conectado ao ptt você pode
manter uma boa qualidade de trafego através deste, mas quem não está no ptt
provavelmente vai vir via rota internacional até você a menos que você
tenha link com operadoras nacionais onde você consiga que eles não repassem
suas rotas (através de communities) mas que os clientes das mesmas possam
acessar sua rede, o problema é o preço para média de 100MB é cobrado cerca
de U$ 1500

Não sei muito sobre outras soluções, nossos scripts para alteração de
anuncio e blackhole estão funcionando bem e atendendo neste momento.



Em 17 de janeiro de 2014 12:27, Denilson Rocha <
denilson_rocha at vertentes.com.br> escreveu:

> Boa tarde!
>
> Uesley, firewall dele não resolve neste caso porque o link que ele
> contrata com a operadora é saturado antes que chegue ao seu firewall. E
> repare que ele diz que aconteceu com outros IPs dele que não são
> servidores DNS.
>
> Já tive exatamente o mesmo cenário aqui, inclusive para um IP sem uso na
> rede, mas pertencente ao meu AS. Tive mesmo que tirar o anúncio
> deste /24. Mas obviamente não é a solução que eu gostaria de ter feito,
> mesmo porque tem que ficar rezando para o ataque cessar, e afinal de
> contas, o atacante conseguiu o que queria, negação do meu serviço...
>
> Denilson Rocha
> Vertentes Telecom
>
>
>
> Em Sex, 2014-01-17 às 13:47 -0200, Uesley Correa escreveu:
>
> > Jacqkes,
> >
> >           Seria um ataque para um IP do seu bloco, na porta 53? Se sim,
> > pode ser facilmente resolvido com firewall. Eu estive sofrendo inundação
> de
> > UDP 53 e resolvi colocando views no servidor DNS e nos Mikrotiks que não
>> > pra fazer isso, filtrei para acesso ao DNS somente o necessário. E
> > funcionou.
> >
> > Att,
> >
> >
> > Em 17 de janeiro de 2014 10:04, Jacques de Beijer <beijer00 at gmail.com
> >escreveu:
> >
> > > Moçada.
> > > Bom dia.
> > >
> > > Estou sofrendo com um ataque de UDP nas minhas sessões BGP que ocupam
> 100%
> > > do meu tráfego. Sempre nos DNS. Entrei em contato com a Embratel ontem
> que
> > > colocou nossos 2 dns em uma blackhole nacional e internacional.
> > >
> > > O problema é que ontem a noite o ataque sessões após a inserção nestas
> > > blackholes, mas hoje voltou em outros ips...
> > >
> > > Alguém sabe algum outro caminho que eu possa tentar com a Embratel?
> > > Ou com a OI????
> > >
> > > Neste caso não há nada que eu possa fazer em meu roteador.
> > >
> > >
> > > --
> > > Atenciosamente,
> > >
> > > Jacques de Beijer
> > > Belem -  Para -  Brasil
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list