[GTER] RES: RES: Ataque tcp syn flooding

Christian Lyra lyra at pop-pr.rnp.br
Fri Nov 6 08:31:07 -02 2015


Oi,

Isso aqui ajuda?
http://www.techrepublic.com/blog/smb-technologist/secure-your-apache-server-from-ddos-slowloris-and-dns-injection-attacks/

O apache tem alguns modulos para tentar combater esse tipo de ataque.

2015-11-04 14:24 GMT-02:00 Glauber Derlland <glauber at vescnet.com.br>:

> Esse em específico não houve saturação de link só processamento do server
> 100%.
>
>
>
>
>
>
> Em 4 de novembro de 2015 11:26, Rodrigo Cesine Soave <
> rodrigo.cesine at gmail.com> escreveu:
>
> > Mesmo um Firewall Parrudo que segure o ataque, mas que sature toda a
> banda
> > não resolve seu problema. Ai somente seu provedor de upstream limpar para
> > você ou a Claro/Embratel/Net te ajudarem.
> >
> > Uma solução de Anti DDoS na nuvem também poderia ser uma opção.
> >
> > Esse ataque saturou seu link?
> >
> > Em 4 de novembro de 2015 09:03, Pablo Antônio Costa <
> > pablo.costa at brainfarma.ind.br> escreveu:
> >
> > > Rafael era isso que quero falar.. concordo com você. Um firewall
> robusto
> > > com um PROXY-SYN + embryonic-comm-lim setado entendo que resolva esse
> > > problema.
> > >
> > > Mas não sou especialista nesse tipo de caso estou interessado em
> entender
> > > melhor e aprender ;)
> > >
> > > -----Mensagem original-----
> > > De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Pablo
> Antônio
> > > Costa
> > > Enviada em: quarta-feira, 4 de novembro de 2015 08:56
> > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > > Assunto: [GTER] RES: Ataque tcp syn flooding
> > >
> > > Qual fora a quantidade visível de conexões do ataque que você conseguiu
> > > ver? Somente por curiosidade.
> > >
> > >
> > >
> > > -----Mensagem original-----
> > > De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Fabiano
> > Ribeiro
> > > Enviada em: terça-feira, 3 de novembro de 2015 21:30
> > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > > Assunto: Re: [GTER] Ataque tcp syn flooding
> > >
> > > Rafael,
> > >
> > >    No caso não é um ataque em UDP com lenght alto que satura a banda, é
> > um
> > > ataque de syn flood e o tráfego nesses casos costuma ser pequeno. Para
> > esse
> > > tipo de ataque uma solução de firewall robusta resolve o problema.
> > >
> > > Em 3 de novembro de 2015 17:33, Rafael Galdino <
> > > sup.rafaelgaldino at gmail.com>
> > > escreveu:
> > >
> > > > Fabiano uma vez questionei no gter acho que em Natal, sobre esses
> > > > ataques e sobre uma forma de parceria entre as operadoras para tentar
> > > > mistificar esses ataques por conta de spoofing etc...
> > > >
> > > > essa solução de bsd iria só ficar no gargalo de link correto?
> > > >
> > > > Em 3 de novembro de 2015 08:12, Fabiano Ribeiro <
> > > > fabiano.ribeiro at gerenciatec.com.br> escreveu:
> > > >
> > > > > Glauber,
> > > > >
> > > > >      Você falou de firewall, mas você tentou implementar uma
> solução
> > > > > de firewall em bridge na frente da tua borda só para o fim de
> > bloqueio
> > > ?.
> > > > > Vários sistemas podem fazer isso mas o mais top e opensource que
> > > > > conheço seria um freebsd com netmap e ipfw. Tem relatos aqui na
> > > > > lista dessa
> > > > solução
> > > > > segurando ataque syn com a mão nas costas. Pesquise na lista sobre.
> > > > >       Outra possibilidade seria jogar o bloqueio para fora do
> > > > > provedor
> > > > com
> > > > > alguma solução anti-ddos de direcionamento no bgp.
> > > > > Em 03/11/2015 09:01, "Glauber Derlland" <glauber at vescnet.com.br>
> > > > escreveu:
> > > > >
> > > > > > Algume tem a solução para ataque tcp syn flooding.
> > > > > >
> > > > > > Detalhes:
> > > > > >
> > > > > > Varias origens para todos os ips da faixa de rede /24 porta 80.
> > > > > >
> > > > > > blackhole - funciona, mais perde toda faixa /24
> > > > > >
> > > > > > bloqueio firewall: Processamento 100%
> > > > > >
> > > > > > Tamanho dos pacotes recebidos: 0
> > > > > >
> > > > > > Quantidade: milhões.
> > > > > >
> > > > > > Origem do ataque: Varios ips da Rede Claro 3g
> > > > > >
> > > > > > *177.56.19.240* (177-56-19-240.3g.claro.net.br
> > > > > > <http://bgp.he.net/dns/177-56-19-240.3g.claro.net.br>)
> > > > > > ASN: 22085.
> > > > > >
> > > > > > Contato com NOC da claro: sem sucesso (só serve para entra dentro
> > > > > > de um site da claro para manutenção de torre).
> > > > > >
> > > > > > Duração do ataque: + de 05 horas.
> > > > > >
> > > > > >
> > > > > > Caso alguem tenha alguma ideia é bem vinda.
> > > > > >
> > > > > > --
> > > > > > <http://www.vescnet.com.br>
> > > > > > Glauber Derlland
> > > > > > 81-3497-7250
> > > > > > 81-4062-9722
> > > > > > 81-988-593-306
> > > > > > 11-4063-1673
> > > > > > INOC-DBA.br: 262792*100
> > > > > >
> > > > > > WhatsApp: 55 81 8163-7122
> > > > > > Viper: 55 81 8163-7122
> > > > > > Skype: vescnet
> > > > > > Facebook: vescnet
> > > > > > Twitter: @vescnet
> > > > > > ICQ: 670280143
> > > > > >
> > > > > > www.vescnet.com.br
> > > > > > https://beta.peeringdb.com/net/4988
> > > > > > <http://as262792.peeringdb.com/> Maps <http://goo.gl/maps/ugZkZ>
> > > > > > --
> > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > >
> > > > *Rafael Galdino*
> > > >
> > > >
> > > > *      Analista de redes - PGF-Telecom *
> > > >
> > > >       Phone:  *+55 (81) 3661-1481 / 1353*
> > > >
> > > >       Celular: *+55 (81) 99599-2203* TIM
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> <http://www.vescnet.com.br>
> Glauber Derlland
> 81-3497-7250
> 81-4062-9722
> 81-988-593-306
> 11-4063-1673
> INOC-DBA.br: 262792*100
>
> WhatsApp: 55 81  8163-7122
> Viper: 55 81 8163-7122
> Skype: vescnet
> Facebook: vescnet
> Twitter: @vescnet
> ICQ: 670280143
>
> www.vescnet.com.br
> https://beta.peeringdb.com/net/4988 <http://as262792.peeringdb.com/>
> Maps <http://goo.gl/maps/ugZkZ>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Christian Lyra
PoP-PR/RNP
(41) 3361-3343



More information about the gter mailing list