[GTER] RES: RES: RES: Ataque tcp syn flooding
Pablo Antônio Costa
pablo.costa at brainfarma.ind.br
Wed Nov 4 14:13:17 -02 2015
Ataque tcp syn, normalmente, não consome banda e sim recurso. Por isso a ideia de um firewall appliance parrudo. Se fosse um UDP ai sua banda iria para o saco. Correto?
-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Rodrigo Cesine Soave
Enviada em: quarta-feira, 4 de novembro de 2015 12:27
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] RES: RES: Ataque tcp syn flooding
Mesmo um Firewall Parrudo que segure o ataque, mas que sature toda a banda não resolve seu problema. Ai somente seu provedor de upstream limpar para você ou a Claro/Embratel/Net te ajudarem.
Uma solução de Anti DDoS na nuvem também poderia ser uma opção.
Esse ataque saturou seu link?
Em 4 de novembro de 2015 09:03, Pablo Antônio Costa < pablo.costa at brainfarma.ind.br> escreveu:
> Rafael era isso que quero falar.. concordo com você. Um firewall
> robusto com um PROXY-SYN + embryonic-comm-lim setado entendo que
> resolva esse problema.
>
> Mas não sou especialista nesse tipo de caso estou interessado em
> entender melhor e aprender ;)
>
> -----Mensagem original-----
> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Pablo
> Antônio Costa Enviada em: quarta-feira, 4 de novembro de 2015 08:56
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: [GTER] RES: Ataque tcp syn flooding
>
> Qual fora a quantidade visível de conexões do ataque que você
> conseguiu ver? Somente por curiosidade.
>
>
>
> -----Mensagem original-----
> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Fabiano
> Ribeiro Enviada em: terça-feira, 3 de novembro de 2015 21:30
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Ataque tcp syn flooding
>
> Rafael,
>
> No caso não é um ataque em UDP com lenght alto que satura a banda,
> é um ataque de syn flood e o tráfego nesses casos costuma ser pequeno.
> Para esse tipo de ataque uma solução de firewall robusta resolve o problema.
>
> Em 3 de novembro de 2015 17:33, Rafael Galdino <
> sup.rafaelgaldino at gmail.com>
> escreveu:
>
> > Fabiano uma vez questionei no gter acho que em Natal, sobre esses
> > ataques e sobre uma forma de parceria entre as operadoras para
> > tentar mistificar esses ataques por conta de spoofing etc...
> >
> > essa solução de bsd iria só ficar no gargalo de link correto?
> >
> > Em 3 de novembro de 2015 08:12, Fabiano Ribeiro <
> > fabiano.ribeiro at gerenciatec.com.br> escreveu:
> >
> > > Glauber,
> > >
> > > Você falou de firewall, mas você tentou implementar uma
> > > solução de firewall em bridge na frente da tua borda só para o fim
> > > de bloqueio
> ?.
> > > Vários sistemas podem fazer isso mas o mais top e opensource que
> > > conheço seria um freebsd com netmap e ipfw. Tem relatos aqui na
> > > lista dessa
> > solução
> > > segurando ataque syn com a mão nas costas. Pesquise na lista sobre.
> > > Outra possibilidade seria jogar o bloqueio para fora do
> > > provedor
> > com
> > > alguma solução anti-ddos de direcionamento no bgp.
> > > Em 03/11/2015 09:01, "Glauber Derlland" <glauber at vescnet.com.br>
> > escreveu:
> > >
> > > > Algume tem a solução para ataque tcp syn flooding.
> > > >
> > > > Detalhes:
> > > >
> > > > Varias origens para todos os ips da faixa de rede /24 porta 80.
> > > >
> > > > blackhole - funciona, mais perde toda faixa /24
> > > >
> > > > bloqueio firewall: Processamento 100%
> > > >
> > > > Tamanho dos pacotes recebidos: 0
> > > >
> > > > Quantidade: milhões.
> > > >
> > > > Origem do ataque: Varios ips da Rede Claro 3g
> > > >
> > > > *177.56.19.240* (177-56-19-240.3g.claro.net.br
> > > > <http://bgp.he.net/dns/177-56-19-240.3g.claro.net.br>)
> > > > ASN: 22085.
> > > >
> > > > Contato com NOC da claro: sem sucesso (só serve para entra
> > > > dentro de um site da claro para manutenção de torre).
> > > >
> > > > Duração do ataque: + de 05 horas.
> > > >
> > > >
> > > > Caso alguem tenha alguma ideia é bem vinda.
> > > >
> > > > --
> > > > <http://www.vescnet.com.br>
> > > > Glauber Derlland
> > > > 81-3497-7250
> > > > 81-4062-9722
> > > > 81-988-593-306
> > > > 11-4063-1673
> > > > INOC-DBA.br: 262792*100
> > > >
> > > > WhatsApp: 55 81 8163-7122
> > > > Viper: 55 81 8163-7122
> > > > Skype: vescnet
> > > > Facebook: vescnet
> > > > Twitter: @vescnet
> > > > ICQ: 670280143
> > > >
> > > > www.vescnet.com.br
> > > > https://beta.peeringdb.com/net/4988
> > > > <http://as262792.peeringdb.com/> Maps <http://goo.gl/maps/ugZkZ>
> > > > --
> > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> >
> > *Rafael Galdino*
> >
> >
> > * Analista de redes - PGF-Telecom *
> >
> > Phone: *+55 (81) 3661-1481 / 1353*
> >
> > Celular: *+55 (81) 99599-2203* TIM
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list