[GTER] DDoS DNS Reflection attack

Bruno Cesar brunohardhouse at gmail.com
Mon Jun 27 15:37:15 -03 2016


Alexandre,

Já utilizei o Hyperfilter para serviço (Servidor Web), funcionou muito bem.
O Incapsula nunca utilizei mas ouvi algumas recomendações.

Geralmente esses serviços funcionam tanto para infra Ip/Subnet quanto para
serviços (web, dns, etc..), a configuração vai variar de acordo com tipo de
ataque e solução, geralmente eles são bem flexíveis em configurações e
voltados em solucionar o problema.

Abs.

Bruno Cesar.

2016-06-27 12:34 GMT-03:00 Gustavo Stocco <gustavostocco at gmail.com>:

> Bruno,
>
> Essas duas opções funcionam para infraestrutura e website ou apenas um
> deles?
> Já chegou a ver em funcionamento as duas empresas apresentadas?
>
> Realmente andei cotando por aqui, mais especificamente com a BlackLayer, e
> foi o valor mais em conta que achei.
> O custo por hora mitigada não é barata mesmo...
>
> Abraços
>
> 2016-06-27 11:55 GMT-03:00 Bruno Cesar <brunohardhouse at gmail.com>:
>
> > Alexandre, esse ataque é característico de botnets.
> >
> > Pela quantidade de trafego o bloqueio via Firewall ou ACL não seria
> > efetivo, terá que mitigar esses pacotes nas camadas acima, dependendo
> da(s)
> > operadora(s) que esteja utilizando e do impacto no seu ambiente poderia
> > provisoriamente bloquear trafego internacional até o ataque parar.
> >
> > Outra opção é utilizar serviços Anti Ddos de fora, baseados em Proxy
> > reversos e CDNs, recomendo alguns:
> >
> > https://www.hyperfilter.com/
> > https://www.incapsula.com/
> >
> > No Brasil existem algumas empresas também, mas o preço para trafego
> > mitigado será alto.
> >
> > Abs.
> >
> > --
> > Bruno Cesar
> >
> >
> > 2016-06-27 7:39 GMT-03:00 Ricardo Rodrigues <rcr.listas at gmail.com>:
> >
> > > Bom dia.
> > >
> > > Este domínio está sendo usado para amplificação por estar assinado com
> > > DNSSEC. Não é um domínio malicioso mas está sendo usado para ataque.
> > >
> > > Se você é a vítima, e parece ser o seu caso, tem que atuar na camada de
> > > rede e roteamento. Apenas certifique-se que as consultas DNS não estão
> > > partindo de sua rede.
> > >
> > > Se seu DNS recursivo estivesse recebendo as consultas DNS por esse
> > domínio,
> > > não seria recomendado fazer drop de todas as consultas pois isso pode
> > gerar
> > > impacto a algum usuário que efetivamente queira acessar o domínio. Para
> > > mitigar ataques de amplificação usando domínios não-maliciosos,
> > > recomenda-se aplicar rate-limiting devolvendo uma resposta "truncada"
> nas
> > > consultas que passarem o limite definido. Isso dá chance para que um
> > > usuário fazendo uma consulta legítima consiga acessar o domínio
> desejado.
> > > Pode ser um rate-limiting genérico pelo tipo de consulta (geralmente
> ANY)
> > > ou específico por nome de domínio ou nome de domínio + tipo de
> consulta.
> > > Isso requer que seu DNS recursivo também limite o número de consultas
> via
> > > TCP.
> > >
> > > Abs,
> > > Ricardo
> > >
> > >
> > > Em 27 de junho de 2016 05:09, Bruno Cabral <bruno at openline.com.br>
> > > escreveu:
> > >
> > > > O problema é que ele vai receber o tráfego, para dropar no roteador
> > dele.
> > > > E presumo 24Gb é bem mais do que ele tem de banda.
> > > > !3runo
> > > >
> > > > --Cursos e Consultoria BGP e OSPF
> > > >
> > > > > Alexandre,
> > > > >
> > > > > Basicamente você pode dropar as consultas aos dns atacados.
> > > > > Eu uso regras assim:
> > > > >
> > > > > /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> > > > > --hex-string '|05|rd588|03|com|000001|' --to 255 -j DROP -m comment
> > > > > --comment "DROP A rd588.com"
> > > > > /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> > > > > --hex-string '|05|ps780|03|com|000001|' --to 255 -j DROP -m comment
> > > > > --comment "DROP A ps780.com"
> > > > >
> > > > > Note que entre pipes é o contador de caracteres da sequencia.
> > > > > Exemplo com o seu domínio onda.net.br:
> > > > >
> > > > > -m string --algo bm --hex-string '|04|onda|03|net|02|br|000001|'
> > > > >
> > > > > 000001 significa consulta consulta "IN A", ou seja, uma consulta
> > IPv4.
> > > > >
> > > > > Sorte ai.
> > > > >
> > > > > Abs,
> > > > >
> > > > > --
> > > > > Eduardo Schoedler
> > > >
> > > >
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
>
> Gustavo Stocco
> GNet Telecomunicaçõeshttp://www.gnettelecom.com.br
> +55 (47) 3373-3322
> 0800-932-0000 R.3322
> INOC-DBA BR 53001*100
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list