[GTER] Ataques DDoS - O que fazer

Diego Canton de Brito diegocanton at ensite.com.br
Mon May 19 20:09:40 -03 2014


Teve sorte, já recebemos um ataque de amplificação NTP que bateu 2 Gbps e rendeu um IP em blackhole eterna, não dá pra liberar que volta o ataque.

Aqui para evitar esses ataques, bloqueamos a porta 53 UDP para os blocos alocados para residências e para empresas apenas se solicitado ou se houver alocação de bloco IP. 
Fechamos toda a entrada e saída da porta 123 UDP liberando apenas os IPs dos servidores NTP da Microsoft, Apple e NTP.Br

Aos clientes provedores foi solicitado que restringissem o acesso a seus recursivos a apenas seus blocos de IPs.

Desde de que tomamos essas iniciativas, não recebemos mais nenhum ataque perceptível.

Em 19/05/2014 19:22, Douglas Fischer <fischerdouglas at gmail.com> escreveu:
>
> Eu estou enfrentando um problema de DDoS baseado em DNS que foi a coisa
> mais FORTE que já vi.
> No total deu 30Mbps de link entupido de queries DNS.
>
> Não sei se fizeram contas, mas isso dá PPS bá-gá-rai...
>
> Chegamos a trocar os Autoritativos de IP, mas como era de se esperar não
> adiantou nada.
> Os pacotes continuavam a chegar, e em pouco tempo o ataque mudou de destino.
>
> Houveram uma série de falhas que acredito terem tornado o cliente em
> questão num alvo, mas o mais grave deles é recursivo aberto...
>
> As origens são diversas(Distributed ou Spooofed), e o que mais me assustou
> foi que são diversas simultaneamente.
>    É comum que o atacante vá mudando a origem(spoof) a cada 10-20 pacotes.
>    Mas nesse caso eu percebi que provavelmente existem 4 origens variando
> os IP spoofados a cada 10 pacotes.
>       Isso implica que o atacante tem no mínimo 4 pontos que aceitam
> spoofing.
>          (P.S.: Até quando? Existe previsão para
>           uma normativa anti-spoofing  no  mesmo
>           estilo  do  bloqueio  da  porta  25?)
> Então além de entupir a entrada, o ataque atolava a saída e arriava o
> servidor.
>
> Mais de 95% das queries eram p/ fkfkfkfc.biz(tem um /24 inteiro dentro da
> resposta).
>
> O que fizemos até agora para contornar o problema foi a troca de IPs dos
> DNSs, fechar o recursivo, e colocar um filtro baseado em RegEx no firewall(
> se "fkfkfkfc\.biz" + DNS query ) limitando esse tráfego em 8kbps.
>
> Os links são corporativos com Bloco de IPs das operadoras.
> Então ações baseadas em BGP são impossíveis.
>
> Entramos em contato com as operadoras hoje solicitando bloqueio via lista
> de acesso ou rota /32 p/ null, mas até agora não tivemos resposta.
>
> P.S.: Congratulações p/ um ASA 5515-X que tocou isso tudo, com direito a
> análise de expressão regular, sem nem fazer cócegas.
>
> Em 19 de maio de 2014 14:22, Braian Jacomelli
> <pbraian at tcheturbo.com.br>escreveu:
>
> > Boa tarde,
> >
> > --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter


More information about the gter mailing list