[GTER] Ataques DDoS - O que fazer

Elizandro Pacheco [ Pacheco Tecnologia ] elizandro at pachecotecnologia.net
Tue May 20 11:18:22 -03 2014


O último que tomei a GVT disse que não poderia fazer o filtro na rede 
deles pois poderia "acocar" o router deles e prejudicar outros clientes kkk


Elizandro


Em 20-05-2014 08:37, Douglas Fischer escreveu:
> Dos casos que os colegas já acompanharam,
> fora as operadoras pequenas(os ISP gordinhos)
> que geralmente são mais compreensivos e prestativos,
>
> quanto os colegas já viram de colaboração por parte
> das telecoms para rastrear o possível Spoofing/DDoS?
>
>
> Existe alguma meio administrativo previsto nas normativas
> do setor para solicitar tal rastreamento as telecoms?
>
>
> Acredito que a origem não seja a partir dos ASNs das
> operadoras que nos atendem.
> Se pelo menos conseguíssemos saber o ASN anterior...
>
>
>
> Em 19 de maio de 2014 20:04, Marcelo Gondim <gondim at bsdinfo.com.br>escreveu:
>
>> Em 19/05/14 19:22, Douglas Fischer escreveu:
>>
>>   Eu estou enfrentando um problema de DDoS baseado em DNS que foi a coisa
>>> mais FORTE que já vi.
>>> No total deu 30Mbps de link entupido de queries DNS.
>>>
>>> Não sei se fizeram contas, mas isso dá PPS bá-gá-rai...
>>>
>>> Chegamos a trocar os Autoritativos de IP, mas como era de se esperar não
>>> adiantou nada.
>>> Os pacotes continuavam a chegar, e em pouco tempo o ataque mudou de
>>> destino.
>>>
>>> Houveram uma série de falhas que acredito terem tornado o cliente em
>>> questão num alvo, mas o mais grave deles é recursivo aberto...
>>>
>>> As origens são diversas(Distributed ou Spooofed), e o que mais me assustou
>>> foi que são diversas simultaneamente.
>>>      É comum que o atacante vá mudando a origem(spoof) a cada 10-20
>>> pacotes.
>>>      Mas nesse caso eu percebi que provavelmente existem 4 origens variando
>>> os IP spoofados a cada 10 pacotes.
>>>         Isso implica que o atacante tem no mínimo 4 pontos que aceitam
>>> spoofing.
>>>            (P.S.: Até quando? Existe previsão para
>>>             uma normativa anti-spoofing  no  mesmo
>>>             estilo  do  bloqueio  da  porta  25?)
>>> Então além de entupir a entrada, o ataque atolava a saída e arriava o
>>> servidor.
>>>
>> Pois é, isso deveria ser obrigação de qualquer Provedor e Datacenter
>> bloquear a saída de qualquer pacote cuja origem não seja da sua rede.
>> Bloquear tráfego RFC1918 também, por  incrível que pareça já recebi pacotes
>> com essa origem.
>>
>> Aqui é um dos bloqueios que fazemos, mas como muitos poucos fazem, somos
>> alvos disso.
>>
>>
>>
>>> Mais de 95% das queries eram p/ fkfkfkfc.biz(tem um /24 inteiro dentro da
>>> resposta).
>>>
>>> O que fizemos até agora para contornar o problema foi a troca de IPs dos
>>> DNSs, fechar o recursivo, e colocar um filtro baseado em RegEx no
>>> firewall(
>>> se "fkfkfkfc\.biz" + DNS query ) limitando esse tráfego em 8kbps.
>>>
>>>
>>> Os links são corporativos com Bloco de IPs das operadoras.
>>> Então ações baseadas em BGP são impossíveis.
>>>
>>> Entramos em contato com as operadoras hoje solicitando bloqueio via lista
>>> de acesso ou rota /32 p/ null, mas até agora não tivemos resposta.
>>>
>>>
>>>
>>> P.S.: Congratulações p/ um ASA 5515-X que tocou isso tudo, com direito a
>>> análise de expressão regular, sem nem fazer cócegas.
>>>
>>>
>>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>




More information about the gter mailing list