[GTER] [ SPAM ]Re: Ataque tcp syn flooding
Antonio Carlos Pina
antoniocarlospina at gmail.com
Tue Nov 3 09:38:35 -02 2015
Glauber não sei se é seu caso mas o maior problema nos ataques tcp syn é encher a tabela de forward em firewalls com regras stateful. Nesses casos, abrir o firewall e depois aplicar regras stateless pode ser a solução pois as vezes o ataque em si tem pouco consumo, ele faz mais mal ao firewall que a rede ou os hosts atacados (que trabalham com syn-cookies)
Qual seu firewall ? Você já experimentou abrir totalmente as regras e/ou desligar conntrack/assemelhados ?
Abs
> On Nov 2, 2015, at 16:39, Glauber Derlland <glauber at vescnet.com.br> wrote:
>
> Algume tem a solução para ataque tcp syn flooding.
>
> Detalhes:
>
> Varias origens para todos os ips da faixa de rede /24 porta 80.
>
> blackhole - funciona, mais perde toda faixa /24
>
> bloqueio firewall: Processamento 100%
>
> Tamanho dos pacotes recebidos: 0
>
> Quantidade: milhões.
>
> Origem do ataque: Varios ips da Rede Claro 3g
>
> *177.56.19.240* (177-56-19-240.3g.claro.net.br
> <http://bgp.he.net/dns/177-56-19-240.3g.claro.net.br>)
> ASN: 22085.
>
> Contato com NOC da claro: sem sucesso (só serve para entra dentro de um
> site da claro para manutenção de torre).
>
> Duração do ataque: + de 05 horas.
>
>
> Caso alguem tenha alguma ideia é bem vinda.
>
> --
> <http://www.vescnet.com.br>
> Glauber Derlland
> 81-3497-7250
> 81-4062-9722
> 81-988-593-306
> 11-4063-1673
> INOC-DBA.br: 262792*100
>
> WhatsApp: 55 81 8163-7122
> Viper: 55 81 8163-7122
> Skype: vescnet
> Facebook: vescnet
> Twitter: @vescnet
> ICQ: 670280143
>
> www.vescnet.com.br
> https://beta.peeringdb.com/net/4988 <http://as262792.peeringdb.com/>
> Maps <http://goo.gl/maps/ugZkZ>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list