[GTER] Ataque Inundação UDP
Douglas Fischer
fischerdouglas at gmail.com
Fri Jan 17 16:51:33 -02 2014
Tem operadoras que não fazem blackhole por community(chega a ser piada).
Mas tenta ver se a tua operadora aceita anúncios /32 com community de
blackhole.
Isso lhe dará maior agilidade para reagir no caso de foco do ataque alterar
para outro IP de destino.
/*Android told-me that this text should be at bottom.*/
Em 17/01/2014 16:39, "Mike Tesliuk" <mike at ultra.net.br> escreveu:
> Nós temos um caso de um cliente que recebe ataques frequentemente, nós
> trabalhamos em dois niveis com os ataques, no primeiro nivel ao ser
> detectado o ataque baseado em quantidade de pacotes, nós removemos todos os
> anuncios internacionais para esta faixa de ip, ou seja, mantemos apenas
> trafego do Brasil, não deixamos o nosso cliente completamente fora ja que o
> publico principal dele é Brasil isso não é um grande problema, se em 3
> minutos o ataque não cessar para manter o bom funcionamento da rede nós
> colocamos também através de communities o ip atacado em blackhole, com isso
> tiramos o trafego da rede, infelizmente o cliente fica fora, reativamos
> tudo novamente em 2 horas e se o ataque voltar passa por todo o processo
> novamente.
>
> Existem empresas que oferecem proteção para ddos , você fecha uma vpn com
> eles , anuncia o seu bloco por eles (normalmente fora do brasil) e então
> eles filtram pra voce o trafego, se você está conectado ao ptt você pode
> manter uma boa qualidade de trafego através deste, mas quem não está no ptt
> provavelmente vai vir via rota internacional até você a menos que você
> tenha link com operadoras nacionais onde você consiga que eles não repassem
> suas rotas (através de communities) mas que os clientes das mesmas possam
> acessar sua rede, o problema é o preço para média de 100MB é cobrado cerca
> de U$ 1500
>
> Não sei muito sobre outras soluções, nossos scripts para alteração de
> anuncio e blackhole estão funcionando bem e atendendo neste momento.
>
>
>
> Em 17 de janeiro de 2014 12:27, Denilson Rocha <
> denilson_rocha at vertentes.com.br> escreveu:
>
> > Boa tarde!
> >
> > Uesley, firewall dele não resolve neste caso porque o link que ele
> > contrata com a operadora é saturado antes que chegue ao seu firewall. E
> > repare que ele diz que aconteceu com outros IPs dele que não são
> > servidores DNS.
> >
> > Já tive exatamente o mesmo cenário aqui, inclusive para um IP sem uso na
> > rede, mas pertencente ao meu AS. Tive mesmo que tirar o anúncio
> > deste /24. Mas obviamente não é a solução que eu gostaria de ter feito,
> > mesmo porque tem que ficar rezando para o ataque cessar, e afinal de
> > contas, o atacante conseguiu o que queria, negação do meu serviço...
> >
> > Denilson Rocha
> > Vertentes Telecom
> >
> >
> >
> > Em Sex, 2014-01-17 às 13:47 -0200, Uesley Correa escreveu:
> >
> > > Jacqkes,
> > >
> > > Seria um ataque para um IP do seu bloco, na porta 53? Se sim,
> > > pode ser facilmente resolvido com firewall. Eu estive sofrendo
> inundação
> > de
> > > UDP 53 e resolvi colocando views no servidor DNS e nos Mikrotiks que
> não
> > dá
> > > pra fazer isso, filtrei para acesso ao DNS somente o necessário. E
> > > funcionou.
> > >
> > > Att,
> > >
> > >
> > > Em 17 de janeiro de 2014 10:04, Jacques de Beijer <beijer00 at gmail.com
> > >escreveu:
> > >
> > > > Moçada.
> > > > Bom dia.
> > > >
> > > > Estou sofrendo com um ataque de UDP nas minhas sessões BGP que ocupam
> > 100%
> > > > do meu tráfego. Sempre nos DNS. Entrei em contato com a Embratel
> ontem
> > que
> > > > colocou nossos 2 dns em uma blackhole nacional e internacional.
> > > >
> > > > O problema é que ontem a noite o ataque sessões após a inserção
> nestas
> > > > blackholes, mas hoje voltou em outros ips...
> > > >
> > > > Alguém sabe algum outro caminho que eu possa tentar com a Embratel?
> > > > Ou com a OI????
> > > >
> > > > Neste caso não há nada que eu possa fazer em meu roteador.
> > > >
> > > >
> > > > --
> > > > Atenciosamente,
> > > >
> > > > Jacques de Beijer
> > > > Belem - Para - Brasil
> > > > --
> > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list