[GTER] RES: RES: Ataque tcp syn flooding

Glauber Derlland glauber at vescnet.com.br
Wed Nov 4 14:24:13 -02 2015 

Esse em específico não houve saturação de link só processamento do server
100%.






Em 4 de novembro de 2015 11:26, Rodrigo Cesine Soave <
rodrigo.cesine at gmail.com> escreveu:

> Mesmo um Firewall Parrudo que segure o ataque, mas que sature toda a banda
> não resolve seu problema. Ai somente seu provedor de upstream limpar para
> você ou a Claro/Embratel/Net te ajudarem.
>
> Uma solução de Anti DDoS na nuvem também poderia ser uma opção.
>
> Esse ataque saturou seu link?
>
> Em 4 de novembro de 2015 09:03, Pablo Antônio Costa <
> pablo.costa at brainfarma.ind.br> escreveu:
>
> > Rafael era isso que quero falar.. concordo com você. Um firewall robusto
> > com um PROXY-SYN + embryonic-comm-lim setado entendo que resolva esse
> > problema.
> >
> > Mas não sou especialista nesse tipo de caso estou interessado em entender
> > melhor e aprender ;)
> >
> > -----Mensagem original-----
> > De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Pablo Antônio
> > Costa
> > Enviada em: quarta-feira, 4 de novembro de 2015 08:56
> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > Assunto: [GTER] RES: Ataque tcp syn flooding
> >
> > Qual fora a quantidade visível de conexões do ataque que você conseguiu
> > ver? Somente por curiosidade.
> >
> >
> >
> > -----Mensagem original-----
> > De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Fabiano
> Ribeiro
> > Enviada em: terça-feira, 3 de novembro de 2015 21:30
> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > Assunto: Re: [GTER] Ataque tcp syn flooding
> >
> > Rafael,
> >
> >    No caso não é um ataque em UDP com lenght alto que satura a banda, é
> um
> > ataque de syn flood e o tráfego nesses casos costuma ser pequeno. Para
> esse
> > tipo de ataque uma solução de firewall robusta resolve o problema.
> >
> > Em 3 de novembro de 2015 17:33, Rafael Galdino <
> > sup.rafaelgaldino at gmail.com>
> > escreveu:
> >
> > > Fabiano uma vez questionei no gter acho que em Natal, sobre esses
> > > ataques e sobre uma forma de parceria entre as operadoras para tentar
> > > mistificar esses ataques por conta de spoofing etc...
> > >
> > > essa solução de bsd iria só ficar no gargalo de link correto?
> > >
> > > Em 3 de novembro de 2015 08:12, Fabiano Ribeiro <
> > > fabiano.ribeiro at gerenciatec.com.br> escreveu:
> > >
> > > > Glauber,
> > > >
> > > >      Você falou de firewall, mas você tentou implementar uma solução
> > > > de firewall em bridge na frente da tua borda só para o fim de
> bloqueio
> > ?.
> > > > Vários sistemas podem fazer isso mas o mais top e opensource que
> > > > conheço seria um freebsd com netmap e ipfw. Tem relatos aqui na
> > > > lista dessa
> > > solução
> > > > segurando ataque syn com a mão nas costas. Pesquise na lista sobre.
> > > >       Outra possibilidade seria jogar o bloqueio para fora do
> > > > provedor
> > > com
> > > > alguma solução anti-ddos de direcionamento no bgp.
> > > > Em 03/11/2015 09:01, "Glauber Derlland" <glauber at vescnet.com.br>
> > > escreveu:
> > > >
> > > > > Algume tem a solução para ataque tcp syn flooding.
> > > > >
> > > > > Detalhes:
> > > > >
> > > > > Varias origens para todos os ips da faixa de rede /24 porta 80.
> > > > >
> > > > > blackhole - funciona, mais perde toda faixa /24
> > > > >
> > > > > bloqueio firewall: Processamento 100%
> > > > >
> > > > > Tamanho dos pacotes recebidos: 0
> > > > >
> > > > > Quantidade: milhões.
> > > > >
> > > > > Origem do ataque: Varios ips da Rede Claro 3g
> > > > >
> > > > > *177.56.19.240* (177-56-19-240.3g.claro.net.br
> > > > > <http://bgp.he.net/dns/177-56-19-240.3g.claro.net.br>)
> > > > > ASN: 22085.
> > > > >
> > > > > Contato com NOC da claro: sem sucesso (só serve para entra dentro
> > > > > de um site da claro para manutenção de torre).
> > > > >
> > > > > Duração do ataque: + de 05 horas.
> > > > >
> > > > >
> > > > > Caso alguem tenha alguma ideia é bem vinda.
> > > > >
> > > > > --
> > > > > <http://www.vescnet.com.br>
> > > > > Glauber Derlland
> > > > > 81-3497-7250
> > > > > 81-4062-9722
> > > > > 81-988-593-306
> > > > > 11-4063-1673
> > > > > INOC-DBA.br: 262792*100
> > > > >
> > > > > WhatsApp: 55 81 8163-7122
> > > > > Viper: 55 81 8163-7122
> > > > > Skype: vescnet
> > > > > Facebook: vescnet
> > > > > Twitter: @vescnet
> > > > > ICQ: 670280143
> > > > >
> > > > > www.vescnet.com.br
> > > > > https://beta.peeringdb.com/net/4988
> > > > > <http://as262792.peeringdb.com/> Maps <http://goo.gl/maps/ugZkZ>
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > >
> > >
> > >
> > > --
> > >
> > > *Rafael Galdino*
> > >
> > >
> > > *      Analista de redes - PGF-Telecom *
> > >
> > >       Phone:  *+55 (81) 3661-1481 / 1353*
> > >
> > >       Celular: *+55 (81) 99599-2203* TIM
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
<http://www.vescnet.com.br>
Glauber Derlland
81-3497-7250
81-4062-9722
81-988-593-306
11-4063-1673
INOC-DBA.br: 262792*100

WhatsApp: 55 81  8163-7122
Viper: 55 81 8163-7122
Skype: vescnet
Facebook: vescnet
Twitter: @vescnet
ICQ: 670280143

www.vescnet.com.br
https://beta.peeringdb.com/net/4988 <http://as262792.peeringdb.com/>
Maps <http://goo.gl/maps/ugZkZ>

More information about the gter mailing list