[GTER] Ataques entrando pelo PTT-SPO com origem ASN 6939 ( HE )

[Rafael Ganascim]

Hoje existe um problema sério durante os incidentes segurança
(principalmente volumétricos) junto aos PTTs em geral (todos eles que tem
participantes e tráfego significativo).

Ex:
O ISP sofre um ataque volumétrico de DNS.
Ou seja, a banda dele será exaurida, queira ou não.


Vamos aos pontos de remediação durante o ataque:

1) em poucos segundos, alguma ferramenta detecta o ataque, e então já
configura a comunidade de blackhole para o(s) IP(s) atacado(s)

- operadoras notificadas
- quem tem UTRS e similares, notificados

Ou seja, o ataque, em suas origens internacionais (e algumas nacionais),
foi mitigado.

2) enviar o(s) prefixo(s) atacado(s) para um serviço de sink-hole

God bless the GRE tunnels. (joke)


3) Mas o bom e velho PTT, que nacionalmente nos conecta a diminui custos,
latência e melhora a performance, continua permitindo os ataques

a. quem não tem rota mais específica para os PTTs que atire a primeira
pedra (brincadeiras a parte, é bem comum este procedimento)

b. culpa de nós mesmos, que não implementamos anti-spoofing, filtragem,
mantemos DNS recursivos abertos, SNMP public a disposição, etc

c. a única solução é retirar o anúncio dos PTTs


Para um ataque de 1h, qual é o problema?
Mas e se ele persistir por dias? Aí vira prejuízo. Pois estaremos operando
só via link trânsito IP, ou ainda por túneis GRE.


Acho importante discutirmos, e propor algo. Não comercial, como o nic.br é
em sua neutralidade com os PTTs.

QUEM SABE um serviço gerido pelo nic.br de blackhole, onde os interessados
sobem uma sessão com um 'blackhole server' e então podem marcar a
comunidade de BH em seus /32 e os participantes deste grupo se comprometem
em dropar os pacotes destinados a este prefixo BH.

Para evitar o problema de algum BH indevido como citado pelo Rubens, para
este serviço seria necessário algo do tipo "liberação de prefixos" para
quem quiser ENVIAR algum BH.

E para todos, a adição de uma regra: recebeu um prefixo dos RS-BH-PTT
tagado com xxx:yyyy, drop em sua rede (a comunidade aqui pode ajudar com
exemplos de todos os fabricantes disponíveis no mundo, para ajudar os menos
técnicos).


Penso que seria um começo para ajudar na mitigação, sem afetar tanto a
performance e a qualidade. Afinal, muitas vezes este é o objetivo do ataque.


Em 6 de julho de 2016 14:16, Kurt Kraut <listas at kurtkraut.net> escreveu:

> Olá,
>
>
> No último GTER isso foi questionado no microfone durante as perguntas &
> respostas durante uma palestra sobre o IX.br. A resposta oficial que foi
> dada se me lembro bem:
>
> - "Não há demanda, não recebemos esse tipo de pedido. Não vamos fazer."
>
>
> Então está na hora dos Sistemas Autônomos atingidos ou que se importam com
> a capacidade de blackhole nos IX.br que não só se manifestem aqui como
> também através de chamados no http://meu.ix.br. - Se não floodar os caras
> com esse tipo de pedido, vão continuar ignorando como se isso não fosse um
> problema.
>
>
> Abraços,
>
> Kurt Kraut
>
> Em 6 de julho de 2016 10:49, Contato contato <contato at networkfly.com.br>
> escreveu:
>
> > Prezados,
> >
> > Bom dia,
> >
> > Como era previsto com a entrada da HE ASN 6939 no IX SPO a quantidade de
> > ataques entrando pelo IX-SPO aumentaria, na época questionei a HE se
> > haveria a possibilidade fechar uma sessão de peering para fazer um
> > blackhole mas a resposta foi (mande um email para noc at he... quando
> estiver
> > sob ataque que bloqueamos o ip ....)  todos sabemos que tal alternativa
> não
> > é funcional.
> >
> > O IX-SPO já tem alguma novidade sobre esse tipo de bloqueio ?
> >
> > A HE mudou a politica e agora esta fazendo sessão de black-hole com
> > participantes do IX SPO ?
> >
> > Se alguem da lista estiver mais atualizado nessa questão e quiser
> > compartilhar agradeço.
> >
> > [ ]´s
> >
> > Fabiano
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>