[GTER] DDoS DNS Reflection attack

Alexandre J. Correa (Onda) alexandre at onda.net.br
Mon Jun 27 13:49:35 -03 2016


Recebo muito nacional também, amplificado, andei coletando umas 
informações e vários provedores conhecidos possuem problemas de DNS aberto:

Optitel
Baydenet
e varias outras.. havia feito uma lista, acabei perdendo o texto..

o ataque mudou para syn-flood com origem spoofada, portas randomicas.. e 
em todo bloco ....

estamos mitigando .... .. cansado mas esta dando certo..

me falaram do staminus.net ... estou verificando (o site do staminus 
estava fora ontem).


Em 27/06/2016 11:55, Bruno Cesar escreveu:
> Alexandre, esse ataque é característico de botnets.
>
> Pela quantidade de trafego o bloqueio via Firewall ou ACL não seria
> efetivo, terá que mitigar esses pacotes nas camadas acima, dependendo da(s)
> operadora(s) que esteja utilizando e do impacto no seu ambiente poderia
> provisoriamente bloquear trafego internacional até o ataque parar.
>
> Outra opção é utilizar serviços Anti Ddos de fora, baseados em Proxy
> reversos e CDNs, recomendo alguns:
>
> https://www.hyperfilter.com/
> https://www.incapsula.com/
>
> No Brasil existem algumas empresas também, mas o preço para trafego
> mitigado será alto.
>
> Abs.
>
> --
> Bruno Cesar
>
>
> 2016-06-27 7:39 GMT-03:00 Ricardo Rodrigues <rcr.listas at gmail.com>:
>
>> Bom dia.
>>
>> Este domínio está sendo usado para amplificação por estar assinado com
>> DNSSEC. Não é um domínio malicioso mas está sendo usado para ataque.
>>
>> Se você é a vítima, e parece ser o seu caso, tem que atuar na camada de
>> rede e roteamento. Apenas certifique-se que as consultas DNS não estão
>> partindo de sua rede.
>>
>> Se seu DNS recursivo estivesse recebendo as consultas DNS por esse domínio,
>> não seria recomendado fazer drop de todas as consultas pois isso pode gerar
>> impacto a algum usuário que efetivamente queira acessar o domínio. Para
>> mitigar ataques de amplificação usando domínios não-maliciosos,
>> recomenda-se aplicar rate-limiting devolvendo uma resposta "truncada" nas
>> consultas que passarem o limite definido. Isso dá chance para que um
>> usuário fazendo uma consulta legítima consiga acessar o domínio desejado.
>> Pode ser um rate-limiting genérico pelo tipo de consulta (geralmente ANY)
>> ou específico por nome de domínio ou nome de domínio + tipo de consulta.
>> Isso requer que seu DNS recursivo também limite o número de consultas via
>> TCP.
>>
>> Abs,
>> Ricardo
>>
>>
>> Em 27 de junho de 2016 05:09, Bruno Cabral <bruno at openline.com.br>
>> escreveu:
>>
>>> O problema é que ele vai receber o tráfego, para dropar no roteador dele.
>>> E presumo 24Gb é bem mais do que ele tem de banda.
>>> !3runo
>>>
>>> --Cursos e Consultoria BGP e OSPF
>>>
>>>> Alexandre,
>>>>
>>>> Basicamente você pode dropar as consultas aos dns atacados.
>>>> Eu uso regras assim:
>>>>
>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
>>>> --hex-string '|05|rd588|03|com|000001|' --to 255 -j DROP -m comment
>>>> --comment "DROP A rd588.com"
>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
>>>> --hex-string '|05|ps780|03|com|000001|' --to 255 -j DROP -m comment
>>>> --comment "DROP A ps780.com"
>>>>
>>>> Note que entre pipes é o contador de caracteres da sequencia.
>>>> Exemplo com o seu domínio onda.net.br:
>>>>
>>>> -m string --algo bm --hex-string '|04|onda|03|net|02|br|000001|'
>>>>
>>>> 000001 significa consulta consulta "IN A", ou seja, uma consulta IPv4.
>>>>
>>>> Sorte ai.
>>>>
>>>> Abs,
>>>>
>>>> --
>>>> Eduardo Schoedler
>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter


-- 
Sds.

Alexandre Jeronimo Correa
Onda Internet
Office: +55 34 3351 3077
www.onda.net.br




More information about the gter mailing list