[GTER] Ataques DDoS - O que fazer

Douglas Fischer fischerdouglas at gmail.com
Tue May 20 11:31:43 -03 2014 

OK:

Uma coisa é eles colocarem um blackhole no PE que atende teu link para não
te repassar o trafego de ataque.
   Uma operadora negar-se a fazer isso sob o argumento de consumo
excessivo, só tem um nome: MENTIRA.

Outra coisa é eles irem colocando ACLs do tipo "permit ip any host
<ip_sob_ataque> log" nas múltiplas interfaces de seus routers, esperando o
match, afim de rastrear a origem.
   Isso, considerando milhares de clientes, se todos pedirem algo do
gênero, realmente irá afetar a perfomance do router.
   Mas considerando que seria apenas em caráter temporário, vejo que o
problema seria mais de sobre-demanda no gerenciamento dos equipamentos que
de performance. E como de costume encontra-se uma desculpa verdadeira para
fugir do trabalho.



Em 20 de maio de 2014 11:18, Elizandro Pacheco [ Pacheco Tecnologia ] <
elizandro at pachecotecnologia.net> escreveu:

> O último que tomei a GVT disse que não poderia fazer o filtro na rede
> deles pois poderia "acocar" o router deles e prejudicar outros clientes kkk
>
>
> Elizandro
>
>
> Em 20-05-2014 08:37, Douglas Fischer escreveu:
>
>  Dos casos que os colegas já acompanharam,
>> fora as operadoras pequenas(os ISP gordinhos)
>> que geralmente são mais compreensivos e prestativos,
>>
>> quanto os colegas já viram de colaboração por parte
>> das telecoms para rastrear o possível Spoofing/DDoS?
>>
>>
>> Existe alguma meio administrativo previsto nas normativas
>> do setor para solicitar tal rastreamento as telecoms?
>>
>>
>> Acredito que a origem não seja a partir dos ASNs das
>> operadoras que nos atendem.
>> Se pelo menos conseguíssemos saber o ASN anterior...
>>
>>
>>
>> Em 19 de maio de 2014 20:04, Marcelo Gondim <gondim at bsdinfo.com.br>
>> escreveu:
>>
>>  Em 19/05/14 19:22, Douglas Fischer escreveu:
>>>
>>>   Eu estou enfrentando um problema de DDoS baseado em DNS que foi a coisa
>>>
>>>> mais FORTE que já vi.
>>>> No total deu 30Mbps de link entupido de queries DNS.
>>>>
>>>> Não sei se fizeram contas, mas isso dá PPS bá-gá-rai...
>>>>
>>>> Chegamos a trocar os Autoritativos de IP, mas como era de se esperar não
>>>> adiantou nada.
>>>> Os pacotes continuavam a chegar, e em pouco tempo o ataque mudou de
>>>> destino.
>>>>
>>>> Houveram uma série de falhas que acredito terem tornado o cliente em
>>>> questão num alvo, mas o mais grave deles é recursivo aberto...
>>>>
>>>> As origens são diversas(Distributed ou Spooofed), e o que mais me
>>>> assustou
>>>> foi que são diversas simultaneamente.
>>>>      É comum que o atacante vá mudando a origem(spoof) a cada 10-20
>>>> pacotes.
>>>>      Mas nesse caso eu percebi que provavelmente existem 4 origens
>>>> variando
>>>> os IP spoofados a cada 10 pacotes.
>>>>         Isso implica que o atacante tem no mínimo 4 pontos que aceitam
>>>> spoofing.
>>>>            (P.S.: Até quando? Existe previsão para
>>>>             uma normativa anti-spoofing  no  mesmo
>>>>             estilo  do  bloqueio  da  porta  25?)
>>>> Então além de entupir a entrada, o ataque atolava a saída e arriava o
>>>> servidor.
>>>>
>>>>  Pois é, isso deveria ser obrigação de qualquer Provedor e Datacenter
>>> bloquear a saída de qualquer pacote cuja origem não seja da sua rede.
>>> Bloquear tráfego RFC1918 também, por  incrível que pareça já recebi
>>> pacotes
>>> com essa origem.
>>>
>>> Aqui é um dos bloqueios que fazemos, mas como muitos poucos fazem, somos
>>> alvos disso.
>>>
>>>
>>>
>>>  Mais de 95% das queries eram p/ fkfkfkfc.biz(tem um /24 inteiro dentro
>>>> da
>>>> resposta).
>>>>
>>>> O que fizemos até agora para contornar o problema foi a troca de IPs dos
>>>> DNSs, fechar o recursivo, e colocar um filtro baseado em RegEx no
>>>> firewall(
>>>> se "fkfkfkfc\.biz" + DNS query ) limitando esse tráfego em 8kbps.
>>>>
>>>>
>>>> Os links são corporativos com Bloco de IPs das operadoras.
>>>> Então ações baseadas em BGP são impossíveis.
>>>>
>>>> Entramos em contato com as operadoras hoje solicitando bloqueio via
>>>> lista
>>>> de acesso ou rota /32 p/ null, mas até agora não tivemos resposta.
>>>>
>>>>
>>>>
>>>> P.S.: Congratulações p/ um ASA 5515-X que tocou isso tudo, com direito a
>>>> análise de expressão regular, sem nem fazer cócegas.
>>>>
>>>>
>>>>
>>>>  --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>>
>>
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list