[GTER] DDoS DNS Reflection attack

Gustavo Stocco gustavostocco at gmail.com
Mon Jun 27 12:34:34 -03 2016


Bruno,

Essas duas opções funcionam para infraestrutura e website ou apenas um
deles?
Já chegou a ver em funcionamento as duas empresas apresentadas?

Realmente andei cotando por aqui, mais especificamente com a BlackLayer, e
foi o valor mais em conta que achei.
O custo por hora mitigada não é barata mesmo...

Abraços

2016-06-27 11:55 GMT-03:00 Bruno Cesar <brunohardhouse at gmail.com>:

> Alexandre, esse ataque é característico de botnets.
>
> Pela quantidade de trafego o bloqueio via Firewall ou ACL não seria
> efetivo, terá que mitigar esses pacotes nas camadas acima, dependendo da(s)
> operadora(s) que esteja utilizando e do impacto no seu ambiente poderia
> provisoriamente bloquear trafego internacional até o ataque parar.
>
> Outra opção é utilizar serviços Anti Ddos de fora, baseados em Proxy
> reversos e CDNs, recomendo alguns:
>
> https://www.hyperfilter.com/
> https://www.incapsula.com/
>
> No Brasil existem algumas empresas também, mas o preço para trafego
> mitigado será alto.
>
> Abs.
>
> --
> Bruno Cesar
>
>
> 2016-06-27 7:39 GMT-03:00 Ricardo Rodrigues <rcr.listas at gmail.com>:
>
> > Bom dia.
> >
> > Este domínio está sendo usado para amplificação por estar assinado com
> > DNSSEC. Não é um domínio malicioso mas está sendo usado para ataque.
> >
> > Se você é a vítima, e parece ser o seu caso, tem que atuar na camada de
> > rede e roteamento. Apenas certifique-se que as consultas DNS não estão
> > partindo de sua rede.
> >
> > Se seu DNS recursivo estivesse recebendo as consultas DNS por esse
> domínio,
> > não seria recomendado fazer drop de todas as consultas pois isso pode
> gerar
> > impacto a algum usuário que efetivamente queira acessar o domínio. Para
> > mitigar ataques de amplificação usando domínios não-maliciosos,
> > recomenda-se aplicar rate-limiting devolvendo uma resposta "truncada" nas
> > consultas que passarem o limite definido. Isso dá chance para que um
> > usuário fazendo uma consulta legítima consiga acessar o domínio desejado.
> > Pode ser um rate-limiting genérico pelo tipo de consulta (geralmente ANY)
> > ou específico por nome de domínio ou nome de domínio + tipo de consulta.
> > Isso requer que seu DNS recursivo também limite o número de consultas via
> > TCP.
> >
> > Abs,
> > Ricardo
> >
> >
> > Em 27 de junho de 2016 05:09, Bruno Cabral <bruno at openline.com.br>
> > escreveu:
> >
> > > O problema é que ele vai receber o tráfego, para dropar no roteador
> dele.
> > > E presumo 24Gb é bem mais do que ele tem de banda.
> > > !3runo
> > >
> > > --Cursos e Consultoria BGP e OSPF
> > >
> > > > Alexandre,
> > > >
> > > > Basicamente você pode dropar as consultas aos dns atacados.
> > > > Eu uso regras assim:
> > > >
> > > > /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> > > > --hex-string '|05|rd588|03|com|000001|' --to 255 -j DROP -m comment
> > > > --comment "DROP A rd588.com"
> > > > /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> > > > --hex-string '|05|ps780|03|com|000001|' --to 255 -j DROP -m comment
> > > > --comment "DROP A ps780.com"
> > > >
> > > > Note que entre pipes é o contador de caracteres da sequencia.
> > > > Exemplo com o seu domínio onda.net.br:
> > > >
> > > > -m string --algo bm --hex-string '|04|onda|03|net|02|br|000001|'
> > > >
> > > > 000001 significa consulta consulta "IN A", ou seja, uma consulta
> IPv4.
> > > >
> > > > Sorte ai.
> > > >
> > > > Abs,
> > > >
> > > > --
> > > > Eduardo Schoedler
> > >
> > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 

Gustavo Stocco
GNet Telecomunicaçõeshttp://www.gnettelecom.com.br
+55 (47) 3373-3322
0800-932-0000 R.3322
INOC-DBA BR 53001*100



More information about the gter mailing list