[GTER] Ataque Inundação UDP

Antonio Carlos Pina antoniocarlospina at gmail.com
Sun Jan 19 17:02:29 -02 2014


Para isso a operadora teria que acompanhar o seu trafego. Sistemas ips fazem isso.

Esse é um caso difícil de resolver, mas a primeira coisa seria colocar um blackhole internacional nos ips atacados e aí usar outro ip como resolver (redirecionando internamente)

A origem do ataque pode não dizer nada. Os ips podem ser falsos (spoofing). O blackhole internacional é sua melhor escolha. Nada de acl.

Paralelamente começar a buscar a explicação. Você estaria com maquina invadida atacando para fora ? Alguma possibilidade de estar com páginas pornô ou de pirataria dentro de sua rede ? Essa é a analise.

Abs



> Em 18/01/2014, às 13:57, Jacques de Beijer <beijer00 at gmail.com> escreveu:
> 
> Lucas,
> 
> Eu quera ver alguma coisa junto com a operadora que detecte e bloqueie
> quando meu link tiver consumo de 70% sobre UDP, isso é ataque, não faz
> sentido.
> 
> Uma outra coisa, ainda não entendi o ataque. Atacar órgãos públicos,
> grandes empresas, instituições financeiras, coisas do tipo tudo bem. Agora
> atacar área de saúde? Sem mais nem menos, simplesmente sortear um AS e
> chutar pacotes UDP adoidado... Isso eu não entendo!
> 
> 
> Em 17 de janeiro de 2014 21:49, Lucas Willian Bocchi <lucas.bocchi at gmail.com
>> escreveu:
> 
>> Jacques
>> 
>> O negócio é partir para uma operadora que te disponibilize as
>> COMMUNITIES para que você possa operar melhor a tua rede.
>> Deu problema? Automatize a parte de detecção e crie as blackholes.
>> Se o ataque continuar é hora de você tentar detectar de onde parte.
>> 
>> Em 17 de janeiro de 2014 21:17, Ricardo Rodrigues
>> <rcr.listas at ig.com.br> escreveu:
>>> A solução depende de mais detalhes:
>>> 
>>> - Você se refere a seus servidores DNS autoritativos ou recursivos? Mesmo
>>> que seu servidor faça as duas funções, é importante usar endereços IP
>>> diferentes para cada serviço.
>>> 
>>> - Como disse o colega, são poucos IP's ou DDoS?
>>> 
>>> - É tráfego de entrada (vindo de fora) ou de saída (seu servidor fazendo
>>> amplificação DNS para fora)?
>>> 
>>> Abs,
>>> Ricardo
>>> 
>>> 
>>> 
>>> Em 17 de janeiro de 2014 04:04, Jacques de Beijer <beijer00 at gmail.com
>>> escreveu:
>>> 
>>>> Moçada.
>>>> Bom dia.
>>>> 
>>>> Estou sofrendo com um ataque de UDP nas minhas sessões BGP que ocupam
>> 100%
>>>> do meu tráfego. Sempre nos DNS. Entrei em contato com a Embratel ontem
>> que
>>>> colocou nossos 2 dns em uma blackhole nacional e internacional.
>>>> 
>>>> O problema é que ontem a noite o ataque sessões após a inserção nestas
>>>> blackholes, mas hoje voltou em outros ips...
>>>> 
>>>> Alguém sabe algum outro caminho que eu possa tentar com a Embratel?
>>>> Ou com a OI????
>>>> 
>>>> Neste caso não há nada que eu possa fazer em meu roteador.
>>>> 
>>>> 
>>>> --
>>>> Atenciosamente,
>>>> 
>>>> Jacques de Beijer
>>>> Belem -  Para -  Brasil
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> 
> 
> -- 
> Atenciosamente,
> 
> Jacques de Beijer
> Belem -  Para -  Brasil
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list