[GTER] Ataques DDoS - O que fazer

Gustavo Machado guto.machado at gmail.com
Tue May 20 07:22:54 -03 2014


Concordo com o Rodrigo.
A solução que estamos utilizamos para mitigar o DDoS e evitar a ocupação da
banda são ferramentas de clean pipe como o Arbor Peakflow.


Em 19 de maio de 2014 21:15, Rodrigo Cesine Soave
<rodrigo.cesine at gmail.com>escreveu:

> Arbor Peakflow SP + TMS ou Arbor Pravail
>
>
> Em 19 de maio de 2014 20:04, Marcelo Gondim <gondim at bsdinfo.com.br
> >escreveu:
>
> > Em 19/05/14 19:22, Douglas Fischer escreveu:
> >
> >  Eu estou enfrentando um problema de DDoS baseado em DNS que foi a coisa
> >> mais FORTE que já vi.
> >> No total deu 30Mbps de link entupido de queries DNS.
> >>
> >> Não sei se fizeram contas, mas isso dá PPS bá-gá-rai...
> >>
> >> Chegamos a trocar os Autoritativos de IP, mas como era de se esperar não
> >> adiantou nada.
> >> Os pacotes continuavam a chegar, e em pouco tempo o ataque mudou de
> >> destino.
> >>
> >> Houveram uma série de falhas que acredito terem tornado o cliente em
> >> questão num alvo, mas o mais grave deles é recursivo aberto...
> >>
> >> As origens são diversas(Distributed ou Spooofed), e o que mais me
> assustou
> >> foi que são diversas simultaneamente.
> >>     É comum que o atacante vá mudando a origem(spoof) a cada 10-20
> >> pacotes.
> >>     Mas nesse caso eu percebi que provavelmente existem 4 origens
> variando
> >> os IP spoofados a cada 10 pacotes.
> >>        Isso implica que o atacante tem no mínimo 4 pontos que aceitam
> >> spoofing.
> >>           (P.S.: Até quando? Existe previsão para
> >>            uma normativa anti-spoofing  no  mesmo
> >>            estilo  do  bloqueio  da  porta  25?)
> >> Então além de entupir a entrada, o ataque atolava a saída e arriava o
> >> servidor.
> >>
> > Pois é, isso deveria ser obrigação de qualquer Provedor e Datacenter
> > bloquear a saída de qualquer pacote cuja origem não seja da sua rede.
> > Bloquear tráfego RFC1918 também, por  incrível que pareça já recebi
> pacotes
> > com essa origem.
> >
> > Aqui é um dos bloqueios que fazemos, mas como muitos poucos fazem, somos
> > alvos disso.
> >
> >
> >
> >> Mais de 95% das queries eram p/ fkfkfkfc.biz(tem um /24 inteiro dentro
> da
> >> resposta).
> >>
> >> O que fizemos até agora para contornar o problema foi a troca de IPs dos
> >> DNSs, fechar o recursivo, e colocar um filtro baseado em RegEx no
> >> firewall(
> >> se "fkfkfkfc\.biz" + DNS query ) limitando esse tráfego em 8kbps.
> >>
> >>
> >> Os links são corporativos com Bloco de IPs das operadoras.
> >> Então ações baseadas em BGP são impossíveis.
> >>
> >> Entramos em contato com as operadoras hoje solicitando bloqueio via
> lista
> >> de acesso ou rota /32 p/ null, mas até agora não tivemos resposta.
> >>
> >>
> >>
> >> P.S.: Congratulações p/ um ASA 5515-X que tocou isso tudo, com direito a
> >> análise de expressão regular, sem nem fazer cócegas.
> >>
> >>
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Rodrigo Cesine Soave
> msn: rodrigo_cesine at hotmail.com
> yahoo: rcesine at yahoo.com
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list