[GTER] Ataques DDoS - O que fazer
Douglas Fischer
fischerdouglas at gmail.com
Mon May 19 19:22:33 -03 2014
Eu estou enfrentando um problema de DDoS baseado em DNS que foi a coisa
mais FORTE que já vi.
No total deu 30Mbps de link entupido de queries DNS.
Não sei se fizeram contas, mas isso dá PPS bá-gá-rai...
Chegamos a trocar os Autoritativos de IP, mas como era de se esperar não
adiantou nada.
Os pacotes continuavam a chegar, e em pouco tempo o ataque mudou de destino.
Houveram uma série de falhas que acredito terem tornado o cliente em
questão num alvo, mas o mais grave deles é recursivo aberto...
As origens são diversas(Distributed ou Spooofed), e o que mais me assustou
foi que são diversas simultaneamente.
É comum que o atacante vá mudando a origem(spoof) a cada 10-20 pacotes.
Mas nesse caso eu percebi que provavelmente existem 4 origens variando
os IP spoofados a cada 10 pacotes.
Isso implica que o atacante tem no mínimo 4 pontos que aceitam
spoofing.
(P.S.: Até quando? Existe previsão para
uma normativa anti-spoofing no mesmo
estilo do bloqueio da porta 25?)
Então além de entupir a entrada, o ataque atolava a saída e arriava o
servidor.
Mais de 95% das queries eram p/ fkfkfkfc.biz(tem um /24 inteiro dentro da
resposta).
O que fizemos até agora para contornar o problema foi a troca de IPs dos
DNSs, fechar o recursivo, e colocar um filtro baseado em RegEx no firewall(
se "fkfkfkfc\.biz" + DNS query ) limitando esse tráfego em 8kbps.
Os links são corporativos com Bloco de IPs das operadoras.
Então ações baseadas em BGP são impossíveis.
Entramos em contato com as operadoras hoje solicitando bloqueio via lista
de acesso ou rota /32 p/ null, mas até agora não tivemos resposta.
P.S.: Congratulações p/ um ASA 5515-X que tocou isso tudo, com direito a
análise de expressão regular, sem nem fazer cócegas.
Em 19 de maio de 2014 14:22, Braian Jacomelli
<pbraian at tcheturbo.com.br>escreveu:
> Boa tarde,
>
> --
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list