[GTER] Ataques DDoS - O que fazer

[Douglas Fischer]

Eu estou enfrentando um problema de DDoS baseado em DNS que foi a coisa
mais FORTE que já vi.
No total deu 30Mbps de link entupido de queries DNS.

Não sei se fizeram contas, mas isso dá PPS bá-gá-rai...

Chegamos a trocar os Autoritativos de IP, mas como era de se esperar não
adiantou nada.
Os pacotes continuavam a chegar, e em pouco tempo o ataque mudou de destino.

Houveram uma série de falhas que acredito terem tornado o cliente em
questão num alvo, mas o mais grave deles é recursivo aberto...

As origens são diversas(Distributed ou Spooofed), e o que mais me assustou
foi que são diversas simultaneamente.
   É comum que o atacante vá mudando a origem(spoof) a cada 10-20 pacotes.
   Mas nesse caso eu percebi que provavelmente existem 4 origens variando
os IP spoofados a cada 10 pacotes.
      Isso implica que o atacante tem no mínimo 4 pontos que aceitam
spoofing.
         (P.S.: Até quando? Existe previsão para
          uma normativa anti-spoofing  no  mesmo
          estilo  do  bloqueio  da  porta  25?)
Então além de entupir a entrada, o ataque atolava a saída e arriava o
servidor.

Mais de 95% das queries eram p/ fkfkfkfc.biz(tem um /24 inteiro dentro da
resposta).

O que fizemos até agora para contornar o problema foi a troca de IPs dos
DNSs, fechar o recursivo, e colocar um filtro baseado em RegEx no firewall(
se "fkfkfkfc\.biz" + DNS query ) limitando esse tráfego em 8kbps.


Os links são corporativos com Bloco de IPs das operadoras.
Então ações baseadas em BGP são impossíveis.

Entramos em contato com as operadoras hoje solicitando bloqueio via lista
de acesso ou rota /32 p/ null, mas até agora não tivemos resposta.



P.S.: Congratulações p/ um ASA 5515-X que tocou isso tudo, com direito a
análise de expressão regular, sem nem fazer cócegas.



Em 19 de maio de 2014 14:22, Braian Jacomelli
<pbraian at tcheturbo.com.br>escreveu:

> Boa tarde,
>
> --
Douglas Fernando Fischer
Engº de Controle e Automação