[GTER] Detecção de ataques DDOS saíntes

Fabiano Ribeiro fabiano.ribeiro at gerenciatec.com.br
Fri Sep 25 10:31:53 -03 2015 

Antonio,

     Eu sofri alguns ataques bem parecidos, uma LAN House cliente do
provedor estava com um bot na máquina Server deles e estava gerando cerca
de 3 Mbps de tráfego icmp para diversos hosts na internet. Enquanto esse
tráfego era gerado eu recebia um ataque de 120 Mbps para o IP desse mesmo
cliente com porta de destino 80 UDP. Assim que derrubava o cliente o
tráfego retornava. Esse tráfego de 120 Mbps não afetava tanto o provedor
pois não estourava a banda.
    A grande questão é que passava um tempo começavam ataques de diversos
tipos, como amplificação de DNS,SSDP e NTP além de Botnet. Esses sim
estouravam a minha banda e no Arbor da minha operado tiveram picos de 10
Gbps de tráfego. E os ips de destino eram aleatórios, não somente os ips
que o cliente pegou e ips que nunca foi alocado para cliente foi atacado.
Sofri ataques no IP do /30 da minha operadora que utilizo para fechar a
sessão BGP com eles.
    Após o cliente formatar a máquina server deles o problema parou. Então
o que fiz foi implementar uma solução no meu FW que monitora a quantidade
de conexões simultâneas e gera uma adress list com ips de "ddoser" e
"ddosed" e ao invés de mandar dropar de cara para não gerar falso positivo,
eu criei uma trigger no Zabbix que alarma para o NOC quando esse tipo de
coisa acontece.
    A única coisa ruim disso é que tive que habilitar o Conntrack do
routerOS para para poder contar as conexões simultâneas, estava tão bom o
FW só com regras stateless :-(

Em 25 de setembro de 2015 08:24, Antonio Modesto <modesto at isimples.com.br>
escreveu:

> Bom dia,
>
> Ultimamente sofremos alguns ataques de DDOS, bem como alguns clientes de
> trânsito nosso. Todos os ataques utilizavam o protocolo UDP e tinham como
> destino IPs aleatórios, alguns que nem mesmo estavam em uso. Ontem
> detectamos um cliente residencial nosso que estava possivelmente sendo
> utilizado por alguma botnet. A queue dele estava no máximo, mas o tráfego
> no túnnel PPPOE estava muito acima do limite da queue, o que já indicava um
> ataque UDP. Ao analisar os pacotes confirmei isso, ataque UDP com pacotes
> de tamanho alto (>1000 bytes), com uma porta de destino bem estranha para
> um pacote UDP (22). Alguém utiliza algo para detectar esse tipo de tráfego
> saindo da rede? Creio que todo provedor autêntico deva fazer algo desse
> tipo, ontem o ataque estava saindo de um host da nossa rede, amanhã podemos
> ser o destinatário...
>
> --
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list