[GTER] DDoS DNS Reflection attack

Eduardo Schoedler listas at esds.com.br
Mon Jun 27 01:32:33 -03 2016


Alexandre,

Basicamente você pode dropar as consultas aos dns atacados.
Eu uso regras assim:

/sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
--hex-string '|05|rd588|03|com|000001|' --to 255 -j DROP -m comment
--comment "DROP A rd588.com"
/sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
--hex-string '|05|ps780|03|com|000001|' --to 255 -j DROP -m comment
--comment "DROP A ps780.com"

Note que entre pipes é o contador de caracteres da sequencia.
Exemplo com o seu domínio onda.net.br:

-m string --algo bm --hex-string '|04|onda|03|net|02|br|000001|'

000001 significa consulta consulta "IN A", ou seja, uma consulta IPv4.

Sorte ai.

Abs,



2016-06-26 23:39 GMT-03:00 Alexandre J. Correa (Onda) <alexandre at onda.net.br>:
> As 4:00 começamos a receber um ataque na ordem de 24 gbit/s em nossos
> roteadores de borda.
>
> Provenientes de "DNS Reflection".
>
> Conseguimos mitigar uma parte, a outra (que chega por outra operadora)
> somente com BH via community...
>
> examinamos o conteúdo dos pacotes e SEMPRE aparece commerce.gov conforme uma
> amostra abaixo:
>
>
> 23:24:25.952121 IP 112.202.241.172.10003 > xxx.xxx.xxx.xxx:5555 UDP, length
> 1207
>         0x0000:  0066 0800 4500 04d3 ed8a 4000 f011 69b9 .f..E..... at ...i.
>         0x0010:  70ca f1ac bd54 0f0a 2713 15b3 04bf cc2f p....T..'....../
>         0x0020:  599d 8180 0001 000b 0000 0009 0863 6f6d Y............com
>         0x0030:  6d65 7263 6503 676f 7600 00ff 0001 c00c merce.gov.......
>         0x0040:  0002 0001 0000 1fba 0016 0864 6e73 7365 ...........dnsse
>         0x0050:  6331 3007 6461 7461 6d74 6e03 636f 6d00 c10.datamtn.com.
>         0x0060:  c00c 0002 0001 0000 1fba 000a 0764 6e73 .............dns
>         0x0070:  7365 6337 c033 c00c 0002 0001 0000 1fba sec7.3..........
>         0x0080:  000a 0764 6e73 7365 6339 c033 c00c 0002 ...dnssec9.3....
>         0x0090:  0001 0000 1fba 000b 0864 6e73 7365 6331 .........dnssec1
>         0x00a0:  31c0 33c0 0c00 0200 0100 001f ba00 0f08 1.3.............
>         0x00b0:  6863 6862 656e 7331 0364 6f63 c015 c00c hchbens1.doc....
>         0x00c0:  0002 0001 0000 1fba 000a 0767 7061 656e ...........gpaen
>         0x00d0:  7332 c098 c00c 002e 0001 0000 1fba 0120 s2..............
>         0x00e0:  0002 0802 0000 2a30 577b f4a6 5754 63b9 ......*0W{..WTc.
>         0x00f0:  24c3 0863 6f6d 6d65 7263 6503 676f 7600 $..commerce.gov.
>         0x0100:  07f9 ef54 ccd3 9cce 8e19 72cf e69b 521c ...T......r...R.
>         0x0110:  fe9e 3d2b 0b6c ec01 5f3f e4c6 9473 ab1a ..=+.l.._?...s..
>         0x0120:  cbbf 0aee 7103 08cc 16d2 365b 5499 ea76 ....q.....6[T..v
>         0x0130:  ee2e ab6d 60c5 063f 2036 607e 2522 0485 ...m`..?.6`~%"..
>         0x0140:  a330 3cf8 530f 1fa2 ec50 fe26 8776 3165 .0<.S....P.&.v1e
>         0x0150:  0fb6 34bf fd95 2b14 e040 b614 2cd9 4f56 ..4...+.. at ..,.OV
>         0x0160:  4568 831c 749d 2e8d 1ae7 b2dd a1e1 8f48 Eh..t..........H
>         0x0170:  e8dd 2fc3 ef35 fc81 0884 aa4a d485 9cf5 ../..5.....J....
>         0x0180:  ec86 ec55 cd51 9c21 c0f6 9fe4 ecca 1804 ...U.Q.!........
>         0x0190:  b2e9 69b9 3b41 f952 fe73 a5e7 350a 8c8c ..i.;A.R.s..5...
>         0x01a0:  3390 2d44 4e08 bed4 e7d1 4627 e511 8b6d 3.-DN.....F'...m
>         0x01b0:  deda 89b7 3ac0 ce30 a7cd fc2b 7687 2086 ....:..0...+v...
>         0x01c0:  94ca 4d5f 8555 974e c280 ed02 df8f 9b70 ..M_.U.N.......p
>         0x01d0:  c793 e050 3a1a 38ea 9b8b 0d21 e334 a7cd ...P:.8....!.4..
>         0x01e0:  725e 2cda 8c59 a6ae b760 4149 8260 e738 r^,..Y...`AI.`.8
>         0x01f0:  043d f86a c84a 77e6 a0a2 f034 ab7a c38f .=.j.Jw....4.z..
>         0x0200:  c00c 002e 0001 0000 1fba 0120 0002 0802 ................
>         0x0210:  0000 2a30 577b f4a6 5754 63b9 378c 0863 ..*0W{..WTc.7..c
>         0x0220:  6f6d 6d65 7263 6503 676f 7600 368c 534c ommerce.gov.6.SL
>         0x0230:  be3b 873a 521f 2ef4 71ec e8b7 bf56 b573 .;.:R...q....V.s
>         0x0240:  ac64 3cd7 33a7 9fe0 967d 0c64 aa00 36d9 .d<.3....}.d..6.
>         0x0250:  725f 1f2f 0a67 2836 0368 5e0d 26d5 db96 r_./.g(6.h^.&...
>         0x0260:  f1e6 fe99 a372 29cc 3138 1abe 3118 750f .....r).18..1.u.
>         0x0270:  bd6f 31d5 52e7 fbc1 b70a ce97 e4b3 03e6 .o1.R...........
>         0x0280:  50bc d158 ccf3 cb0b 02de c566 2395 1b7c P..X.......f#..|
>         0x0290:  ca4d 83d4 7dd8 259b fd79 2f2f d2d5 a4e0 .M..}.%..y//....
>         0x02a0:  73ae d764 a15f f55c 4622 4bd2 3f00 0c17 s..d._.\F"K.?...
>         0x02b0:  2079 7f77 ad39 d117 e4ee 3301 da12 1441 .y.w.9....3....A
>         0x02c0:  6b59 9cde 2f9a b189 2d52 5239 2f6d ac7d kY../...-RR9/m.}
>         0x02d0:  496a 08ab 9512 f29c fff6 5120 5ede 4746 Ij........Q.^.GF
>         0x02e0:  d8db 7d95 756f 9515 a510 470e e3f2 b3fc ..}.uo....G.....
>         0x02f0:  929a fe7b 2ed1 17b8 5354 a767 e507 2a68 ...{....ST.g..*h
>         0x0300:  2a06 6ccc 4562 57c6 49c4 f39e 329c e04d *.l.EbW.I...2..M
>         0x0310:  c525 463f c59a 5ab0 94b1 aae2 060f e5b9 .%F?..Z.........
>         0x0320:  671c 909b 434c 6024 4833 ee61 c00c 002b g...CL`$H3.a...+
>         0x0330:  0001 0000 0399 0018 c997 0801 a5b3 b240 ...............@
>         0x0340:  bf01 7c9c 91d7 0478 ce10 2c10 30bb 6b38 ..|....x..,.0.k8
>         0x0350:  c00c 002b 0001 0000 0399 0024 c997 0802 ...+.......$....
>         0x0360:  59d0 39bf 0233 c6d7 e440 659c b427 7222 Y.9..3... at e..'r"
>         0x0370:  7d23 beb8 3540 06c4 f8db e742 342c 335d }#..5 at .....B4,3]
>         0x0380:  c00c 002e 0001 0000 0399 0097 002b 0802 .............+..
>         0x0390:  0000 0e10 5779 8d47 5770 52c7 6827 0367 ....Wy.GWpR.h'.g
>         0x03a0:  6f76 002f 9678 9132 5013 47e5 91ff 45eb ov./.x.2P.G...E.
>         0x03b0:  c2e2 d616 583f 434c 5ce8 949c 9bb8 19cf ....X?CL\.......
>         0x03c0:  608f 5cee 8e90 a7ce c6ae 3840 6d02 3910 `.\.......8 at m.9.
>         0x03d0:  eb59 03d3 f59e 45ce bf62 bb78 5bbf abab .Y....E..b.x[...
>         0x03e0:  9ed7 1ef6 c761 8fd9 72af 5a18 e100 36b5 .....a..r.Z...6.
>         0x03f0:  f474 beda b1b5 d5b2 15ff 46d7 5526 d70a .t........F.U&..
>         0x0400:  7ce3 d539 b962 84ab c5cc c607 a6c6 311a |..9.b........1.
>         0x0410:  25fd 34de 3b69 ec36 e7b9 f94a 7a56 9de9 %.4.;i.6...JzV..
>         0x0420:  cea8 14c0 4c00 0100 0100 0017 5a00 04c0 ....L.......Z...
>         0x0430:  c657 f2c0 4c00 1c00 0100 0017 5a00 1026 .W..L.......Z..&
>         0x0440:  0756 0001 4300 0010 0000 0000 0001 01c0 .V..C...........
>         0x0450:  6200 0100 0100 0017 5a00 044c 4912 eec0 b.......Z..LI...
>         0x0460:  6200 1c00 0100 0017 5a00 1020 0149 f0a0 b.......Z....I..
>         0x0470:  2a10 0000 0000 0000 0002 38c0 aa00 0100 *.........8.....
>         0x0480:  0100 00c9 1f00 04aa 6ee1 0dc0 aa00 1c00 ........n.......
>         0x0490:  0100 0020 e400 1026 1000 2000 0000 200d .......&........
>         0x04a0:  0c09 0c02 2502 23c0 2a00 0100 0100 0298 ....%.#.*.......
>         0x04b0:  0c00 046c a6aa 68c0 7800 0100 0100 01e6 ...l..h.x.......
>         0x04c0:  e300 0440 3ec8 93c0 8f00 0100 0100 013f ...@>..........?
>         0x04d0:  7300 04aa 6ee1 0b                        s...n..
>
>
> Alguém conhece este 'padrão' ou tem alguma dica ?
>
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
> Onda Internet
> Office: +55 34 3351 3077
> www.onda.net.br
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



-- 
Eduardo Schoedler



More information about the gter mailing list