[GTER] Ataque DDOS

Sat Oct 4 10:37:20 -03 2014

Nós somos ISP e temos sofrido ataques DDoS na madrugada, da ordem de 
1Gbps ou mais.
O complicado é que como não tem um horário certo pra isso acontecer fica 
difícil analisar na hora do problema. Porque também não dura muito o 
ataque. Acredito que seja para dificultar a identificação.
Como o ataque é sempre direcionado para alguma cidade nossa estou 
pensando em montar um IDS/IPS em bridge antes do router para identificar 
os ataques e bloquear antes de passar por ele. Porque no router entram 3 
links grandes mas são distribuídos em links menores para as cidades e aí 
causa o problema naquela cidade onde o clear channel é de 1 Gbps ou menos.

Coloquei um monitoramento em um IP que não está sendo usado por nenhum 
assinante nosso e para a minha surpresa peguei vário IPs enviando 
pacotes para ele de fora em diversas portas, freneticamente de tempo em 
tempo. Bloqueei todos esses IPs.

On 03/10/2014 16:25, Guilherme Domingues wrote:
> Kurt não tivemos esta coincidência. Mas recebemos ataques por diversos
> blocos internacionais, inclusive a níveis acima de 1Gbps.
>
> Bloqueamos e inibimos parte destes ataques, inclusive após as investidas
> pela equipe de redes a um determinado bloco nosso. Verificamos que logo em
> seguida rodaram scan por outros blocos do ISP.
>
> Neste momento estamos mais "tranquilos", mas isto servirá para alerta a
> outros pequenos e médios ISP's.
>
> Att.
> Guilherme Domingues
>
>
>
> LPI 102
> LPI000161013
> https://cs.lpi.org/caf/Xamman/certification/process_verify
> code verification:  v8bwxqzja7
> Linux ID #425752
> ---
> "A mente que se abre a uma nova idéia jamais voltará ao seu tamanho
> original."  Albert Einstein
>
> 2014-10-03 13:01 GMT-03:00 Kurt Kraut <listas at kurtkraut.net>:
>
>> Aloha Guilherme,
>>
>>
>> Curiosidade mórbida: antes se sofrer esse DDoS, você foi abordado alguns
>> dias/semanas/meses atrás por uma empresa oferecendo solução anti-DDoS?
>> Tenho observado no mercado empresas que importaram o business plan da máfia
>> italiana. Muita gente que me relata ataque 'coincidentemente' foi abordado
>> num passado recente por uma empresa oferecendo solução de proteção. O
>> principal alvo tem sido empresas de hospedagem de sites, agências digitais,
>> blogs de humor profissionais (de blogueiros que conseguem pagar as contas
>> nesse ofício). ISP até agora testemunhei nenhum caso.
>>
>> Aconteceu isso contigo?
>>
>>
>> Abraços,
>>
>>
>> Kurt Kraut
>>
>>
>> Kurt Kraut
>>
>> Em 2 de outubro de 2014 16:36, Guilherme Domingues <
>> guilherme.domingues.oliveira at gmail.com> escreveu:
>>
>>> Pessoal boa tarde,
>>>
>>> Alguém da lista tem sofrido ataque DDOS a nível de bloco de ASN por este
>>> período ?
>>>
>>>
>>> ---
>>> "A mente que se abre a uma nova idéia jamais voltará ao seu tamanho
>>> original."  Albert Einstein
>>> --
>>>