[GTER] RES: Mitigando ataques DDoS tcp com iptables

Alexandre Giovaneli - Via Real Telecom alexandregiovaneli.ti at viareal.com.br
Wed Jul 6 18:25:22 -03 2016 

Pessoal boa Tarde 

	Acompanhando os tópico, eu encontrei uma solução que teoricamente simples para ataques DDoS que gostaria de compartilhar com todos. No período de 2014 a 2015 estava recebendo ataques volumétricos de 4 a 20Gbps de udp em portas de relógio, dns e por ai vai. Bom resumindo que obviamente eu tenho um enlace de mínimo perto do ataque não existe firewall que pare o ataque, no máximo é segurar isto para não gargalar minha rede local. Pois bem, diante desde ataques começamos a usar ferramentas de Análise de trafego ou como alguns dizem FLOW ANALISER ou "Masterização" de pacotes. Após colocarmos esta ferramenta percebemos que 95% dos ataques volumétricos tem origem de países asiáticos. O que foi feito foi que ao invés de anunciarmos como um "geral" para fora do Brasil, nós anunciamos em comunidades , permitindo um controle mais efetivo de meus anúncios. Então quando a ferramenta de análise de trafego alarma, eu no mesmo instante identifico primeiro se é direcionado a um ip meu ou a um bloco de ip. Se for a um ip, no mesmo instante eu faço o anuncio do ip para a blackhole das operadoras e o ataque é cessado. Se for a um bloco de ip, eu deixo de anunciar aquele bloco de ip para uma região do mundo , um exemplo prático a Asia. Até o momento não tive um ataque a um bloco de IP mas em teoria deve funcionar muito bem. E 1 em 1 hora você faz o roolback, pois outra coisa que observei que estes ataques duram em média 1 hora. 

Resumindo você tendo em sua wan:
Protocolo BGP
Um bom Roteador para que estes anúncios não fique amarrados em sua wan.
Ferramenta de FLOW


Você consegue atuar rapidamente na proteção de seu trafego.

Um abração
Alexandre Giovaneli
Gerente de Redes

-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Leonardo Amaral - Listas
Enviada em: quarta-feira, 6 de julho de 2016 00:41
Para: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>
Assunto: Re: [GTER] Mitigando ataques DDoS tcp com iptables

Em 5 de julho de 2016 13:02, Antonio Carlos Pina < antoniocarlospina at gmail.com> escreveu:

> Ataques de conntrack normalmente são TCP-SYN e pequenos. Dá para 
> mitigar com o iptables.
>

Tá bom, espero que a lei de Moore não se torne inválida na velocidade que as botnets surgem.



[image: --]

Leonardo Amaral
[image: https://]about.me/leonardo.amaral <https://about.me/leonardo.amaral?promo=email_sig&utm_source=email_sig&utm_medium=email_sig&utm_campaign=external_links>
--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list