[GTER] Ataques DDoS - O que fazer

Douglas Fischer fischerdouglas at gmail.com
Mon May 19 21:23:18 -03 2014 

Eu vou te dizer que fiquei assustado...
​

O normal do ataque era coisa de 5-6mbps de queries dns.
Mas teve momentos de TOPar o downstream dos links chegando nos 30Mb.

Agora a nossa análise está em saber se isso é um ataque com destino em
escolha randômica, ou se tem alguma motivação mais intensa do que isso.

P.S.:  Por orientação de um colega de missiva, já reportei para a
Neustar(mantenedora do .biz) o abuso no domínio previamente citado.


Em 19 de maio de 2014 20:09, Diego Canton de Brito <
diegocanton at ensite.com.br> escreveu:

> Teve sorte, já recebemos um ataque de amplificação NTP que bateu 2 Gbps e
> rendeu um IP em blackhole eterna, não dá pra liberar que volta o ataque.
>
> Aqui para evitar esses ataques, bloqueamos a porta 53 UDP para os blocos
> alocados para residências e para empresas apenas se solicitado ou se houver
> alocação de bloco IP.
> Fechamos toda a entrada e saída da porta 123 UDP liberando apenas os IPs
> dos servidores NTP da Microsoft, Apple e NTP.Br
>
> Aos clientes provedores foi solicitado que restringissem o acesso a seus
> recursivos a apenas seus blocos de IPs.
>
> Desde de que tomamos essas iniciativas, não recebemos mais nenhum ataque
> perceptível.
>
> Em 19/05/2014 19:22, Douglas Fischer <fischerdouglas at gmail.com> escreveu:
> >
> > Eu estou enfrentando um problema de DDoS baseado em DNS que foi a coisa
> > mais FORTE que já vi.
> > No total deu 30Mbps de link entupido de queries DNS.
> >
> > Não sei se fizeram contas, mas isso dá PPS bá-gá-rai...
> >
> > Chegamos a trocar os Autoritativos de IP, mas como era de se esperar não
> > adiantou nada.
> > Os pacotes continuavam a chegar, e em pouco tempo o ataque mudou de
> destino.
> >
> > Houveram uma série de falhas que acredito terem tornado o cliente em
> > questão num alvo, mas o mais grave deles é recursivo aberto...
> >
> > As origens são diversas(Distributed ou Spooofed), e o que mais me
> assustou
> > foi que são diversas simultaneamente.
> >    É comum que o atacante vá mudando a origem(spoof) a cada 10-20
> pacotes.
> >    Mas nesse caso eu percebi que provavelmente existem 4 origens variando
> > os IP spoofados a cada 10 pacotes.
> >       Isso implica que o atacante tem no mínimo 4 pontos que aceitam
> > spoofing.
> >          (P.S.: Até quando? Existe previsão para
> >           uma normativa anti-spoofing  no  mesmo
> >           estilo  do  bloqueio  da  porta  25?)
> > Então além de entupir a entrada, o ataque atolava a saída e arriava o
> > servidor.
> >
> > Mais de 95% das queries eram p/ fkfkfkfc.biz(tem um /24 inteiro dentro
> da
> > resposta).
> >
> > O que fizemos até agora para contornar o problema foi a troca de IPs dos
> > DNSs, fechar o recursivo, e colocar um filtro baseado em RegEx no
> firewall(
> > se "fkfkfkfc\.biz" + DNS query ) limitando esse tráfego em 8kbps.
> >
> > Os links são corporativos com Bloco de IPs das operadoras.
> > Então ações baseadas em BGP são impossíveis.
> >
> > Entramos em contato com as operadoras hoje solicitando bloqueio via lista
> > de acesso ou rota /32 p/ null, mas até agora não tivemos resposta.
> >
> > P.S.: Congratulações p/ um ASA 5515-X que tocou isso tudo, com direito a
> > análise de expressão regular, sem nem fazer cócegas.
> >
> > Em 19 de maio de 2014 14:22, Braian Jacomelli
> > <pbraian at tcheturbo.com.br>escreveu:
> >
> > > Boa tarde,
> > >
> > > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list