[GTER] DDoS DNS Reflection attack
Bruno Cesar
brunohardhouse at gmail.com
Mon Jun 27 11:55:47 -03 2016
Alexandre, esse ataque é característico de botnets.
Pela quantidade de trafego o bloqueio via Firewall ou ACL não seria
efetivo, terá que mitigar esses pacotes nas camadas acima, dependendo da(s)
operadora(s) que esteja utilizando e do impacto no seu ambiente poderia
provisoriamente bloquear trafego internacional até o ataque parar.
Outra opção é utilizar serviços Anti Ddos de fora, baseados em Proxy
reversos e CDNs, recomendo alguns:
https://www.hyperfilter.com/
https://www.incapsula.com/
No Brasil existem algumas empresas também, mas o preço para trafego
mitigado será alto.
Abs.
--
Bruno Cesar
2016-06-27 7:39 GMT-03:00 Ricardo Rodrigues <rcr.listas at gmail.com>:
> Bom dia.
>
> Este domínio está sendo usado para amplificação por estar assinado com
> DNSSEC. Não é um domínio malicioso mas está sendo usado para ataque.
>
> Se você é a vítima, e parece ser o seu caso, tem que atuar na camada de
> rede e roteamento. Apenas certifique-se que as consultas DNS não estão
> partindo de sua rede.
>
> Se seu DNS recursivo estivesse recebendo as consultas DNS por esse domínio,
> não seria recomendado fazer drop de todas as consultas pois isso pode gerar
> impacto a algum usuário que efetivamente queira acessar o domínio. Para
> mitigar ataques de amplificação usando domínios não-maliciosos,
> recomenda-se aplicar rate-limiting devolvendo uma resposta "truncada" nas
> consultas que passarem o limite definido. Isso dá chance para que um
> usuário fazendo uma consulta legítima consiga acessar o domínio desejado.
> Pode ser um rate-limiting genérico pelo tipo de consulta (geralmente ANY)
> ou específico por nome de domínio ou nome de domínio + tipo de consulta.
> Isso requer que seu DNS recursivo também limite o número de consultas via
> TCP.
>
> Abs,
> Ricardo
>
>
> Em 27 de junho de 2016 05:09, Bruno Cabral <bruno at openline.com.br>
> escreveu:
>
> > O problema é que ele vai receber o tráfego, para dropar no roteador dele.
> > E presumo 24Gb é bem mais do que ele tem de banda.
> > !3runo
> >
> > --Cursos e Consultoria BGP e OSPF
> >
> > > Alexandre,
> > >
> > > Basicamente você pode dropar as consultas aos dns atacados.
> > > Eu uso regras assim:
> > >
> > > /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> > > --hex-string '|05|rd588|03|com|000001|' --to 255 -j DROP -m comment
> > > --comment "DROP A rd588.com"
> > > /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> > > --hex-string '|05|ps780|03|com|000001|' --to 255 -j DROP -m comment
> > > --comment "DROP A ps780.com"
> > >
> > > Note que entre pipes é o contador de caracteres da sequencia.
> > > Exemplo com o seu domínio onda.net.br:
> > >
> > > -m string --algo bm --hex-string '|04|onda|03|net|02|br|000001|'
> > >
> > > 000001 significa consulta consulta "IN A", ou seja, uma consulta IPv4.
> > >
> > > Sorte ai.
> > >
> > > Abs,
> > >
> > > --
> > > Eduardo Schoedler
> >
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list