[GTER] Ataques DDoS - O que fazer

[Douglas Fischer]

Dos casos que os colegas já acompanharam,
fora as operadoras pequenas(os ISP gordinhos)
que geralmente são mais compreensivos e prestativos,

quanto os colegas já viram de colaboração por parte
das telecoms para rastrear o possível Spoofing/DDoS?


Existe alguma meio administrativo previsto nas normativas
do setor para solicitar tal rastreamento as telecoms?


Acredito que a origem não seja a partir dos ASNs das
operadoras que nos atendem.
Se pelo menos conseguíssemos saber o ASN anterior...



Em 19 de maio de 2014 20:04, Marcelo Gondim <gondim at bsdinfo.com.br>escreveu:

> Em 19/05/14 19:22, Douglas Fischer escreveu:
>
>  Eu estou enfrentando um problema de DDoS baseado em DNS que foi a coisa
>> mais FORTE que já vi.
>> No total deu 30Mbps de link entupido de queries DNS.
>>
>> Não sei se fizeram contas, mas isso dá PPS bá-gá-rai...
>>
>> Chegamos a trocar os Autoritativos de IP, mas como era de se esperar não
>> adiantou nada.
>> Os pacotes continuavam a chegar, e em pouco tempo o ataque mudou de
>> destino.
>>
>> Houveram uma série de falhas que acredito terem tornado o cliente em
>> questão num alvo, mas o mais grave deles é recursivo aberto...
>>
>> As origens são diversas(Distributed ou Spooofed), e o que mais me assustou
>> foi que são diversas simultaneamente.
>>     É comum que o atacante vá mudando a origem(spoof) a cada 10-20
>> pacotes.
>>     Mas nesse caso eu percebi que provavelmente existem 4 origens variando
>> os IP spoofados a cada 10 pacotes.
>>        Isso implica que o atacante tem no mínimo 4 pontos que aceitam
>> spoofing.
>>           (P.S.: Até quando? Existe previsão para
>>            uma normativa anti-spoofing  no  mesmo
>>            estilo  do  bloqueio  da  porta  25?)
>> Então além de entupir a entrada, o ataque atolava a saída e arriava o
>> servidor.
>>
> Pois é, isso deveria ser obrigação de qualquer Provedor e Datacenter
> bloquear a saída de qualquer pacote cuja origem não seja da sua rede.
> Bloquear tráfego RFC1918 também, por  incrível que pareça já recebi pacotes
> com essa origem.
>
> Aqui é um dos bloqueios que fazemos, mas como muitos poucos fazem, somos
> alvos disso.
>
>
>
>> Mais de 95% das queries eram p/ fkfkfkfc.biz(tem um /24 inteiro dentro da
>> resposta).
>>
>> O que fizemos até agora para contornar o problema foi a troca de IPs dos
>> DNSs, fechar o recursivo, e colocar um filtro baseado em RegEx no
>> firewall(
>> se "fkfkfkfc\.biz" + DNS query ) limitando esse tráfego em 8kbps.
>>
>>
>> Os links são corporativos com Bloco de IPs das operadoras.
>> Então ações baseadas em BGP são impossíveis.
>>
>> Entramos em contato com as operadoras hoje solicitando bloqueio via lista
>> de acesso ou rota /32 p/ null, mas até agora não tivemos resposta.
>>
>>
>>
>> P.S.: Congratulações p/ um ASA 5515-X que tocou isso tudo, com direito a
>> análise de expressão regular, sem nem fazer cócegas.
>>
>>
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação