[GTER] Ataque Inundação UDP
Antonio Carlos Pina
antoniocarlospina at gmail.com
Sun Jan 19 17:02:29 -02 2014
Para isso a operadora teria que acompanhar o seu trafego. Sistemas ips fazem isso.
Esse é um caso difícil de resolver, mas a primeira coisa seria colocar um blackhole internacional nos ips atacados e aí usar outro ip como resolver (redirecionando internamente)
A origem do ataque pode não dizer nada. Os ips podem ser falsos (spoofing). O blackhole internacional é sua melhor escolha. Nada de acl.
Paralelamente começar a buscar a explicação. Você estaria com maquina invadida atacando para fora ? Alguma possibilidade de estar com páginas pornô ou de pirataria dentro de sua rede ? Essa é a analise.
Abs
> Em 18/01/2014, às 13:57, Jacques de Beijer <beijer00 at gmail.com> escreveu:
>
> Lucas,
>
> Eu quera ver alguma coisa junto com a operadora que detecte e bloqueie
> quando meu link tiver consumo de 70% sobre UDP, isso é ataque, não faz
> sentido.
>
> Uma outra coisa, ainda não entendi o ataque. Atacar órgãos públicos,
> grandes empresas, instituições financeiras, coisas do tipo tudo bem. Agora
> atacar área de saúde? Sem mais nem menos, simplesmente sortear um AS e
> chutar pacotes UDP adoidado... Isso eu não entendo!
>
>
> Em 17 de janeiro de 2014 21:49, Lucas Willian Bocchi <lucas.bocchi at gmail.com
>> escreveu:
>
>> Jacques
>>
>> O negócio é partir para uma operadora que te disponibilize as
>> COMMUNITIES para que você possa operar melhor a tua rede.
>> Deu problema? Automatize a parte de detecção e crie as blackholes.
>> Se o ataque continuar é hora de você tentar detectar de onde parte.
>>
>> Em 17 de janeiro de 2014 21:17, Ricardo Rodrigues
>> <rcr.listas at ig.com.br> escreveu:
>>> A solução depende de mais detalhes:
>>>
>>> - Você se refere a seus servidores DNS autoritativos ou recursivos? Mesmo
>>> que seu servidor faça as duas funções, é importante usar endereços IP
>>> diferentes para cada serviço.
>>>
>>> - Como disse o colega, são poucos IP's ou DDoS?
>>>
>>> - É tráfego de entrada (vindo de fora) ou de saída (seu servidor fazendo
>>> amplificação DNS para fora)?
>>>
>>> Abs,
>>> Ricardo
>>>
>>>
>>>
>>> Em 17 de janeiro de 2014 04:04, Jacques de Beijer <beijer00 at gmail.com
>>> escreveu:
>>>
>>>> Moçada.
>>>> Bom dia.
>>>>
>>>> Estou sofrendo com um ataque de UDP nas minhas sessões BGP que ocupam
>> 100%
>>>> do meu tráfego. Sempre nos DNS. Entrei em contato com a Embratel ontem
>> que
>>>> colocou nossos 2 dns em uma blackhole nacional e internacional.
>>>>
>>>> O problema é que ontem a noite o ataque sessões após a inserção nestas
>>>> blackholes, mas hoje voltou em outros ips...
>>>>
>>>> Alguém sabe algum outro caminho que eu possa tentar com a Embratel?
>>>> Ou com a OI????
>>>>
>>>> Neste caso não há nada que eu possa fazer em meu roteador.
>>>>
>>>>
>>>> --
>>>> Atenciosamente,
>>>>
>>>> Jacques de Beijer
>>>> Belem - Para - Brasil
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
>
> --
> Atenciosamente,
>
> Jacques de Beijer
> Belem - Para - Brasil
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list