[GTER] Ataque tcp syn flooding
Douglas Fischer
fischerdouglas at gmail.com
Tue Nov 3 09:21:49 -02 2015
Esses endereços do /24 não estariam NATEADOS não né?
Dependendo do Firewall que você tiver, ele pode estar fazendo o NAT antes
de dropar o pacote.
Experimento bloquear na entrada do firewall, garantindo que ele drop logo
na chegada do pacote na interface...
Ou então bloquear no teu RouterBorda...
Lembrando que TEM QUE SER STATELESS, se não não tem memória que aguente.
Em 2 de novembro de 2015 16:39, Glauber Derlland <glauber at vescnet.com.br>
escreveu:
> Algume tem a solução para ataque tcp syn flooding.
>
> Detalhes:
>
> Varias origens para todos os ips da faixa de rede /24 porta 80.
>
> blackhole - funciona, mais perde toda faixa /24
>
> bloqueio firewall: Processamento 100%
>
> Tamanho dos pacotes recebidos: 0
>
> Quantidade: milhões.
>
> Origem do ataque: Varios ips da Rede Claro 3g
>
> *177.56.19.240* (177-56-19-240.3g.claro.net.br
> <http://bgp.he.net/dns/177-56-19-240.3g.claro.net.br>)
> ASN: 22085.
>
> Contato com NOC da claro: sem sucesso (só serve para entra dentro de um
> site da claro para manutenção de torre).
>
> Duração do ataque: + de 05 horas.
>
>
> Caso alguem tenha alguma ideia é bem vinda.
>
> --
> <http://www.vescnet.com.br>
> Glauber Derlland
> 81-3497-7250
> 81-4062-9722
> 81-988-593-306
> 11-4063-1673
> INOC-DBA.br: 262792*100
>
> WhatsApp: 55 81 8163-7122
> Viper: 55 81 8163-7122
> Skype: vescnet
> Facebook: vescnet
> Twitter: @vescnet
> ICQ: 670280143
>
> www.vescnet.com.br
> https://beta.peeringdb.com/net/4988 <http://as262792.peeringdb.com/>
> Maps <http://goo.gl/maps/ugZkZ>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list