[GTER] Fwd: Ataque Inundação UDP

Jacques de Beijer beijer00 at gmail.com
Sat Jan 18 13:53:17 -02 2014


Os ataques partem de AS's da República Theca, Itália, Dinamarca, Estados
Unidos, China, Rússia e Grécia.
Eles pegam meus IPS DNS e começam a enviar pancada de pacotes UDP em todas
as portas.
 Coloquei os DNS em um IP de uma operadora, em um Ip de Outra Operadora e
em um ip do bloco, o ataque não cessava.

Dei discard das rotas, nas sessões, não adiantou. Apontei rotas para estes
ip para a loopback, não adiantou. Dei discard dos pacotes dos ips
atacantes, não adiantou. Coloquei os ips dos atacantes nas interfaces de
borda, não adiantou. Xinguei a mãe deles o dia todo, não adiantou...

A EBT com algumas blackholes conseguiu evitar por um tempo o ataque, mas em
seguida os atacantes mudavam o IP.

O chato disto tudo é que demora muito para a operadora agir, depois de 4
horas do chamado aberto, a EBT me liga e me diz  "Olha, acabamos de
detectar aqui que vocês estão sobre ataque!", quase que pergunto para ele
"Sério????"

A OI, me liga informando que tinha parado um circuito que interrompeu o
sinal para meu roteador. (??????)

Pedi uma proposta do serviço de mitigação e suporte 24 horas 0800 direto
com o NOC da Embratel. A proposta que tem um serviço muito bom com produtos
da Arbor Networks e contato direto com o os caras que resolvem mesmo, sai
por uma bagatela de R$ 20.000,00.




Em 17 de janeiro de 2014 21:49, Lucas Willian Bocchi <lucas.bocchi at gmail.com
> escreveu:

Jacques
>
> O negócio é partir para uma operadora que te disponibilize as
> COMMUNITIES para que você possa operar melhor a tua rede.
> Deu problema? Automatize a parte de detecção e crie as blackholes.
> Se o ataque continuar é hora de você tentar detectar de onde parte.
>
> Em 17 de janeiro de 2014 21:17, Ricardo Rodrigues
> <rcr.listas at ig.com.br> escreveu:
> > A solução depende de mais detalhes:
> >
> > - Você se refere a seus servidores DNS autoritativos ou recursivos? Mesmo
> > que seu servidor faça as duas funções, é importante usar endereços IP
> > diferentes para cada serviço.
> >
> > - Como disse o colega, são poucos IP's ou DDoS?
> >
> > - É tráfego de entrada (vindo de fora) ou de saída (seu servidor fazendo
> > amplificação DNS para fora)?
> >
> > Abs,
> > Ricardo
> >
> >
> >
> > Em 17 de janeiro de 2014 04:04, Jacques de Beijer <beijer00 at gmail.com
> >escreveu:
> >
> >> Moçada.
> >> Bom dia.
> >>
> >> Estou sofrendo com um ataque de UDP nas minhas sessões BGP que ocupam
> 100%
> >> do meu tráfego. Sempre nos DNS. Entrei em contato com a Embratel ontem
> que
> >> colocou nossos 2 dns em uma blackhole nacional e internacional.
> >>
> >> O problema é que ontem a noite o ataque sessões após a inserção nestas
> >> blackholes, mas hoje voltou em outros ips...
> >>
> >> Alguém sabe algum outro caminho que eu possa tentar com a Embratel?
> >> Ou com a OI????
> >>
> >> Neste caso não há nada que eu possa fazer em meu roteador.
> >>
> >>
> >> --
> >> Atenciosamente,
> >>
> >> Jacques de Beijer
> >> Belem -  Para -  Brasil
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>




-- 
Atenciosamente,

Jacques de Beijer
Belem -  Para -  Brasil



More information about the gter mailing list