[GTER] RES: Sistema de detecção de ataques de DDOS

Diego Canton de Brito diegocanton at ensite.com.br
Wed Oct 7 16:48:28 -03 2015


Também implementamos aqui, tivemos que fazer pequenos ajustes, mas o último fim de semana um IP que estava na mira dos ataques não nos tirou o sono, só recebemos os avisos de bloqueio, nem deu muito tempo de pegar no gráfico SNMP, que pega amostras minuto a minuto, mas confirmei nos flows.

Também tive um evento interessante ao bloquear um cliente que estava fazendo PortScan pela quantidade de Flows.

Uma dica pra quem vá implementar, seja usando a imagem VyOS ou instalado no script ou na unha, é aumentar o parâmetro "average_calculation_time = " para 60 ou 120, isso ajuda a evitar Falsos-Positivos. Ativar o contrack na configuração dele tbm para calcular Flows, aqui a média dos IPs com mais flows é de 300, assim definimos em 1000 e tem resolvido bem com DDoS.


Quanto ao bloqueio interno, bom, filtre para seus clientes residenciais as portas UDP 53,123,161 e 1900 (DNS, NTP, SNMP e SSDP) que são os protocolos que costumam amplificar. Para os casos de PortScan ou ataques com uso de banda alta no cliente e portscan, o próprio cliente sente que está lento, mas vc pode tentar usar o NfSen com o plugin NfSigth, não usei mas pelo que li dele faz mais ou menos isso de identificar e notificar esses casos.

Att,


-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Cleber A. Nascimento
Enviada em: quarta-feira, 7 de outubro de 2015 15:41
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Sistema de detecção de ataques de DDOS

Estamos em testes aqui com FreeBSD.
Alguns colegas tb o estão testando com VyOS e estão sendo surpreendidos com a taxa de acertos, assim como a simplicidade de implementação.

Em 7 de outubro de 2015 14:43, <luciano at netvga.com.br> escreveu:

> Boa tarde,
>
> Dizem ser muito bom! mais ainda não implementei.
>
> https://github.com/FastVPSEestiOu/fastnetmon
>
> Luciano
>
>
> >
> >
> > On 10/07/15 12:17, suporte salvador wrote:
> >> Nesse caso seria interessante enviar um aviso ao cliente também, 
> >> para que o mesmo limpe suas máquinas.
> > O objetivo é justamente detectar essas origens comprometidas e 
> > mitigar o problema. Hoje mesmo aconteceu com um cliente nosso. No 
> > final das contas era um Mikrotik com 'allow-remote-request' 
> > habilitado nas configurações de DNS. Qualquer algoritmo que 
> > implemente algum tipo de threshold para tuplas src/dst ip/port em 
> > conexões UDP e nos notifique já seria um bom começo. A solução 
> > com sFlow seria bem plausível por enviar somente amostras dos pacotes e não precisar estar "inline".
> >
> >
> >> Att
> >> Em 07/10/2015 11:53, "Alexandre J. Correa (Onda)"
> >> <alexandre at onda.net.br>
> >> escreveu:
> >>
> >>> https://www.kentik.com
> >>>
> >>> usamos o serviço deles, alterações bruscas de comportamento do 
> >>> perfil de trafego, ele avisa...
> >>>
> >>>
> >>> Em 07/10/2015 11:24, Antonio Modesto escreveu:
> >>>
> >>>> r que esse tipo de ataque se origine na nossa rede. Creio não 
> >>>> ser algo tão complexo devido ao fato de a maioria dos ataques 
> >>>> mais agressivos utilizarem pacotes UDP em altas taxas de 
> >>>> transmissão
> >>>>
> >>>
> >>> --
> >>> Sds.
> >>>
> >>> Alexandre Jeronimo Correa
> >>> Sócio-Administrador
> >>>
> >>> Office: +55 34 3351 3077
> >>>
> >>> Onda Internet
> >>> www.onda.net.br
> >>>
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > Atenciosamente,
> >
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




-- 

Cleber Alves

.ılı..ılı.
"Observe as estrelas e aprenda com elas." Albert Einstein
--
gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list