[GTER] Ataques DDoS - O que fazer

Marcelo Gondim gondim at bsdinfo.com.br
Mon May 19 20:04:12 -03 2014


Em 19/05/14 19:22, Douglas Fischer escreveu:
> Eu estou enfrentando um problema de DDoS baseado em DNS que foi a coisa
> mais FORTE que já vi.
> No total deu 30Mbps de link entupido de queries DNS.
>
> Não sei se fizeram contas, mas isso dá PPS bá-gá-rai...
>
> Chegamos a trocar os Autoritativos de IP, mas como era de se esperar não
> adiantou nada.
> Os pacotes continuavam a chegar, e em pouco tempo o ataque mudou de destino.
>
> Houveram uma série de falhas que acredito terem tornado o cliente em
> questão num alvo, mas o mais grave deles é recursivo aberto...
>
> As origens são diversas(Distributed ou Spooofed), e o que mais me assustou
> foi que são diversas simultaneamente.
>     É comum que o atacante vá mudando a origem(spoof) a cada 10-20 pacotes.
>     Mas nesse caso eu percebi que provavelmente existem 4 origens variando
> os IP spoofados a cada 10 pacotes.
>        Isso implica que o atacante tem no mínimo 4 pontos que aceitam
> spoofing.
>           (P.S.: Até quando? Existe previsão para
>            uma normativa anti-spoofing  no  mesmo
>            estilo  do  bloqueio  da  porta  25?)
> Então além de entupir a entrada, o ataque atolava a saída e arriava o
> servidor.
Pois é, isso deveria ser obrigação de qualquer Provedor e Datacenter 
bloquear a saída de qualquer pacote cuja origem não seja da sua rede. 
Bloquear tráfego RFC1918 também, por  incrível que pareça já recebi 
pacotes com essa origem.

Aqui é um dos bloqueios que fazemos, mas como muitos poucos fazem, somos 
alvos disso.

>
> Mais de 95% das queries eram p/ fkfkfkfc.biz(tem um /24 inteiro dentro da
> resposta).
>
> O que fizemos até agora para contornar o problema foi a troca de IPs dos
> DNSs, fechar o recursivo, e colocar um filtro baseado em RegEx no firewall(
> se "fkfkfkfc\.biz" + DNS query ) limitando esse tráfego em 8kbps.
>
>
> Os links são corporativos com Bloco de IPs das operadoras.
> Então ações baseadas em BGP são impossíveis.
>
> Entramos em contato com as operadoras hoje solicitando bloqueio via lista
> de acesso ou rota /32 p/ null, mas até agora não tivemos resposta.
>
>
>
> P.S.: Congratulações p/ um ASA 5515-X que tocou isso tudo, com direito a
> análise de expressão regular, sem nem fazer cócegas.
>
>




More information about the gter mailing list