[GTER] Ataques DDoS - O que fazer

Andre Alves andre at benerofonte.com.br
Mon May 19 19:58:22 -03 2014 

Verdade seja dita, todos os firewalls do mercado tem neste mesmo 
estilo do jetpow da Cisco, é que a NSA é burra mais nem tanto. Ela a 
mão para livrar o braço - no melhor estilo Tropa de Elite 2.

Eu não confio em nenhum, mas entre 0 e alguma coisa, ainda fico com 
alguma coisa. Que é melhor do que o nada anterior. Mas gosto muito 
das soluções da Checkpoint.




On Monday 19/05/2014 at 7:38 pm, Vicente De Luca  wrote:
> O maior problema do ASA é o jetplow ;)
>
>
> On 19 May 2014, at 19:22, Douglas Fischer <fischerdouglas at gmail.com> 
> wrote:
>
>>
>> Eu estou enfrentando um problema de DDoS baseado em DNS que foi a 
>> coisa
>> mais FORTE que já vi.
>> No total deu 30Mbps de link entupido de queries DNS.
>>
>> Não sei se fizeram contas, mas isso dá PPS bá-gá-rai...
>>
>> Chegamos a trocar os Autoritativos de IP, mas como era de se esperar 
>> não
>> adiantou nada.
>> Os pacotes continuavam a chegar, e em pouco tempo o ataque mudou de 
>> destino.
>>
>> Houveram uma série de falhas que acredito terem tornado o cliente em
>> questão num alvo, mas o mais grave deles é recursivo aberto...
>>
>> As origens são diversas(Distributed ou Spooofed), e o que mais me 
>> assustou
>> foi que são diversas simultaneamente.
>>      É comum que o atacante vá mudando a origem(spoof) a cada 10-20 
>> pacotes.
>>      Mas nesse caso eu percebi que provavelmente existem 4 origens 
>> variando
>> os IP spoofados a cada 10 pacotes.
>>            Isso implica que o atacante tem no mínimo 4 pontos que 
>> aceitam
>> spoofing.
>>                  (P.S.: Até quando? Existe previsão para
>>                    uma normativa anti-spoofing  no  mesmo
>>                    estilo  do  bloqueio  da  porta  25?)
>> Então além de entupir a entrada, o ataque atolava a saída e arriava 
>> o
>> servidor.
>>
>> Mais de 95% das queries eram p/ fkfkfkfc.biz(tem um /24 inteiro dentro 
>> da
>> resposta).
>>
>> O que fizemos até agora para contornar o problema foi a troca de IPs 
>> dos
>> DNSs, fechar o recursivo, e colocar um filtro baseado em RegEx no 
>> firewall(
>> se "fkfkfkfc\.biz" + DNS query ) limitando esse tráfego em 8kbps.
>>
>>
>> Os links são corporativos com Bloco de IPs das operadoras.
>> Então ações baseadas em BGP são impossíveis.
>>
>> Entramos em contato com as operadoras hoje solicitando bloqueio via 
>> lista
>> de acesso ou rota /32 p/ null, mas até agora não tivemos resposta.
>>
>>
>>
>> P.S.: Congratulações p/ um ASA 5515-X que tocou isso tudo, com 
>> direito a
>> análise de expressão regular, sem nem fazer cócegas.
>>
>>
>>
>> Em 19 de maio de 2014 14:22, Braian Jacomelli
>> <pbraian at tcheturbo.com.br>escreveu:
>>
>>>
>>> Boa tarde,
>>>
>>> --
>> Douglas Fernando Fischer
>> Engº de Controle e Automação
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list