[GTER] DDoS DNS Reflection attack

Wilson R Lopes wilsonlopes00 at gmail.com
Mon Jun 27 13:26:31 -03 2016


Boa tarde,

soluções de mitigação DDoS conseguem facilmente mitigar estes ataques de
dns amplification (respostas amplificadas de consultas não realizadas)
usando payload regular expression ou mesmo dns regular expression, dando
match, por exemplo, no record dns consultado.

O que eu achei estranho nesse print do tcpdump é a porta de origem ser 10003.
Em um ataque de amplificação usando recursivos abertos você receberia estes
pacotes com porta de origem 53, destino um porta alta do ip da sua rede que
foi spoofado.

Você pode tentar identificar um padrão - se sempre a porta de origem é
10003, por exemplo, e bloquear com acl mesmo.

Considerando que o ataque está entupindo seus links, as ações acima
precisam ser feitas usando um cleaning center de uma das suas operadoras,
se disponível, ou contratando um serviço de mitigação em cloud via tunel
gre.



Abs,
Wilson.



Em 27 de junho de 2016 07:39, Ricardo Rodrigues <rcr.listas at gmail.com>
escreveu:

> Bom dia.
>
> Este domínio está sendo usado para amplificação por estar assinado com
> DNSSEC. Não é um domínio malicioso mas está sendo usado para ataque.
>
> Se você é a vítima, e parece ser o seu caso, tem que atuar na camada de
> rede e roteamento. Apenas certifique-se que as consultas DNS não estão
> partindo de sua rede.
>
> Se seu DNS recursivo estivesse recebendo as consultas DNS por esse domínio,
> não seria recomendado fazer drop de todas as consultas pois isso pode gerar
> impacto a algum usuário que efetivamente queira acessar o domínio. Para
> mitigar ataques de amplificação usando domínios não-maliciosos,
> recomenda-se aplicar rate-limiting devolvendo uma resposta "truncada" nas
> consultas que passarem o limite definido. Isso dá chance para que um
> usuário fazendo uma consulta legítima consiga acessar o domínio desejado.
> Pode ser um rate-limiting genérico pelo tipo de consulta (geralmente ANY)
> ou específico por nome de domínio ou nome de domínio + tipo de consulta.
> Isso requer que seu DNS recursivo também limite o número de consultas via
> TCP.
>
> Abs,
> Ricardo
>
>
> Em 27 de junho de 2016 05:09, Bruno Cabral <bruno at openline.com.br>
> escreveu:
>
> > O problema é que ele vai receber o tráfego, para dropar no roteador dele.
> > E presumo 24Gb é bem mais do que ele tem de banda.
> > !3runo
> >
> > --Cursos e Consultoria BGP e OSPF
> >
> > > Alexandre,
> > >
> > > Basicamente você pode dropar as consultas aos dns atacados.
> > > Eu uso regras assim:
> > >
> > > /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> > > --hex-string '|05|rd588|03|com|000001|' --to 255 -j DROP -m comment
> > > --comment "DROP A rd588.com"
> > > /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> > > --hex-string '|05|ps780|03|com|000001|' --to 255 -j DROP -m comment
> > > --comment "DROP A ps780.com"
> > >
> > > Note que entre pipes é o contador de caracteres da sequencia.
> > > Exemplo com o seu domínio onda.net.br:
> > >
> > > -m string --algo bm --hex-string '|04|onda|03|net|02|br|000001|'
> > >
> > > 000001 significa consulta consulta "IN A", ou seja, uma consulta IPv4.
> > >
> > > Sorte ai.
> > >
> > > Abs,
> > >
> > > --
> > > Eduardo Schoedler
> >
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list