[GTER] Ataque Inundação UDP
Douglas Fischer
fischerdouglas at gmail.com
Sun Jan 19 23:10:35 -02 2014
Cara, tendo communities ativado no seu BGP(operadora), reagir é tão rápido
quanto aplicar um filtro em um protocolo de roteamento.
Sobre o identificar o ataque, isso é comum hoje. Usando algum IDS(em série
ou em tráfego espelhado) isso é coisa simples.
O mais importante é ter log de ataques e varreduras que você sofreu no
passado. Com isso fica menos impossível de identificar a real origem.
Depois do identificar(IDS) vem o proteger(IPS) que pode ser a base de
filtragem (ACLs e/ou Firewall), ou a base de blackhole, que creio ser o seu
caso.
Existem diversos equipamentos de IDS/IPS que possibilitam integração com
routers de borda[1] fazendo a aplicação do blackhole automaticamente.
Já ví até um cabra que fez essa integracao/reação através do nagios
[1]Off-Topic: Descobrindo a América, isso é um baita exemplo de SDN, e algo
já bem velhinho no mercado.
/*Android told-me that this text should be at bottom.*/
Em 19/01/2014 12:22, "Jacques de Beijer" <beijer00 at gmail.com> escreveu:
> Lucas,
>
> Eu quera ver alguma coisa junto com a operadora que detecte e bloqueie
> quando meu link tiver consumo de 70% sobre UDP, isso é ataque, não faz
> sentido.
>
> Uma outra coisa, ainda não entendi o ataque. Atacar órgãos públicos,
> grandes empresas, instituições financeiras, coisas do tipo tudo bem. Agora
> atacar área de saúde? Sem mais nem menos, simplesmente sortear um AS e
> chutar pacotes UDP adoidado... Isso eu não entendo!
>
>
> Em 17 de janeiro de 2014 21:49, Lucas Willian Bocchi <
> lucas.bocchi at gmail.com
> > escreveu:
>
> > Jacques
> >
> > O negócio é partir para uma operadora que te disponibilize as
> > COMMUNITIES para que você possa operar melhor a tua rede.
> > Deu problema? Automatize a parte de detecção e crie as blackholes.
> > Se o ataque continuar é hora de você tentar detectar de onde parte.
> >
> > Em 17 de janeiro de 2014 21:17, Ricardo Rodrigues
> > <rcr.listas at ig.com.br> escreveu:
> > > A solução depende de mais detalhes:
> > >
> > > - Você se refere a seus servidores DNS autoritativos ou recursivos?
> Mesmo
> > > que seu servidor faça as duas funções, é importante usar endereços IP
> > > diferentes para cada serviço.
> > >
> > > - Como disse o colega, são poucos IP's ou DDoS?
> > >
> > > - É tráfego de entrada (vindo de fora) ou de saída (seu servidor
> fazendo
> > > amplificação DNS para fora)?
> > >
> > > Abs,
> > > Ricardo
> > >
> > >
> > >
> > > Em 17 de janeiro de 2014 04:04, Jacques de Beijer <beijer00 at gmail.com
> > >escreveu:
> > >
> > >> Moçada.
> > >> Bom dia.
> > >>
> > >> Estou sofrendo com um ataque de UDP nas minhas sessões BGP que ocupam
> > 100%
> > >> do meu tráfego. Sempre nos DNS. Entrei em contato com a Embratel ontem
> > que
> > >> colocou nossos 2 dns em uma blackhole nacional e internacional.
> > >>
> > >> O problema é que ontem a noite o ataque sessões após a inserção nestas
> > >> blackholes, mas hoje voltou em outros ips...
> > >>
> > >> Alguém sabe algum outro caminho que eu possa tentar com a Embratel?
> > >> Ou com a OI????
> > >>
> > >> Neste caso não há nada que eu possa fazer em meu roteador.
> > >>
> > >>
> > >> --
> > >> Atenciosamente,
> > >>
> > >> Jacques de Beijer
> > >> Belem - Para - Brasil
> > >> --
> > >> gter list https://eng.registro.br/mailman/listinfo/gter
> > >>
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Atenciosamente,
>
> Jacques de Beijer
> Belem - Para - Brasil
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list