[GTER] DDoS DNS Reflection attack

[Elizandro Pacheco [ Pacheco Tecnologia ]]

Eu falei sobre isso, e cuidados extremamente básicos que os provedores deveriam tomar na GTER-40.

Tem número, de dns, ssdp, ntp..  e eles são realmente assustadores.

Segue:

DNS + SSDP + NTP Prevenção é a melhor solução <https://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rja&uact=8&ved=0ahUKEwjxg66TmsnNAhWEC5AKHXsJDPoQFgghMAE&url=ftp%3A%2F%2Fftp.registro.br%2Fpub%2Fgter%2Fgter40%2F01-AmplificacaoNTPSSDPDNS.pdf&usg=AFQjCNF7FQH3I-8_mECk72eWQ8HT4iIXug&bvm=bv.125596728,d.Y2I>


Elizandro Pacheco


> Em 27 de jun de 2016, à(s) 13:49, Alexandre J. Correa (Onda) <alexandre at onda.net.br> escreveu:
> 
> Recebo muito nacional também, amplificado, andei coletando umas informações e vários provedores conhecidos possuem problemas de DNS aberto:
> 
> Optitel
> Baydenet
> e varias outras.. havia feito uma lista, acabei perdendo o texto..
> 
> o ataque mudou para syn-flood com origem spoofada, portas randomicas.. e em todo bloco ....
> 
> estamos mitigando .... .. cansado mas esta dando certo..
> 
> me falaram do staminus.net ... estou verificando (o site do staminus estava fora ontem).
> 
> 
> Em 27/06/2016 11:55, Bruno Cesar escreveu:
>> Alexandre, esse ataque é característico de botnets.
>> 
>> Pela quantidade de trafego o bloqueio via Firewall ou ACL não seria
>> efetivo, terá que mitigar esses pacotes nas camadas acima, dependendo da(s)
>> operadora(s) que esteja utilizando e do impacto no seu ambiente poderia
>> provisoriamente bloquear trafego internacional até o ataque parar.
>> 
>> Outra opção é utilizar serviços Anti Ddos de fora, baseados em Proxy
>> reversos e CDNs, recomendo alguns:
>> 
>> https://www.hyperfilter.com/
>> https://www.incapsula.com/
>> 
>> No Brasil existem algumas empresas também, mas o preço para trafego
>> mitigado será alto.
>> 
>> Abs.
>> 
>> --
>> Bruno Cesar
>> 
>> 
>> 2016-06-27 7:39 GMT-03:00 Ricardo Rodrigues <rcr.listas at gmail.com>:
>> 
>>> Bom dia.
>>> 
>>> Este domínio está sendo usado para amplificação por estar assinado com
>>> DNSSEC. Não é um domínio malicioso mas está sendo usado para ataque.
>>> 
>>> Se você é a vítima, e parece ser o seu caso, tem que atuar na camada de
>>> rede e roteamento. Apenas certifique-se que as consultas DNS não estão
>>> partindo de sua rede.
>>> 
>>> Se seu DNS recursivo estivesse recebendo as consultas DNS por esse domínio,
>>> não seria recomendado fazer drop de todas as consultas pois isso pode gerar
>>> impacto a algum usuário que efetivamente queira acessar o domínio. Para
>>> mitigar ataques de amplificação usando domínios não-maliciosos,
>>> recomenda-se aplicar rate-limiting devolvendo uma resposta "truncada" nas
>>> consultas que passarem o limite definido. Isso dá chance para que um
>>> usuário fazendo uma consulta legítima consiga acessar o domínio desejado.
>>> Pode ser um rate-limiting genérico pelo tipo de consulta (geralmente ANY)
>>> ou específico por nome de domínio ou nome de domínio + tipo de consulta.
>>> Isso requer que seu DNS recursivo também limite o número de consultas via
>>> TCP.
>>> 
>>> Abs,
>>> Ricardo
>>> 
>>> 
>>> Em 27 de junho de 2016 05:09, Bruno Cabral <bruno at openline.com.br>
>>> escreveu:
>>> 
>>>> O problema é que ele vai receber o tráfego, para dropar no roteador dele.
>>>> E presumo 24Gb é bem mais do que ele tem de banda.
>>>> !3runo
>>>> 
>>>> --Cursos e Consultoria BGP e OSPF
>>>> 
>>>>> Alexandre,
>>>>> 
>>>>> Basicamente você pode dropar as consultas aos dns atacados.
>>>>> Eu uso regras assim:
>>>>> 
>>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
>>>>> --hex-string '|05|rd588|03|com|000001|' --to 255 -j DROP -m comment
>>>>> --comment "DROP A rd588.com"
>>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
>>>>> --hex-string '|05|ps780|03|com|000001|' --to 255 -j DROP -m comment
>>>>> --comment "DROP A ps780.com"
>>>>> 
>>>>> Note que entre pipes é o contador de caracteres da sequencia.
>>>>> Exemplo com o seu domínio onda.net.br:
>>>>> 
>>>>> -m string --algo bm --hex-string '|04|onda|03|net|02|br|000001|'
>>>>> 
>>>>> 000001 significa consulta consulta "IN A", ou seja, uma consulta IPv4.
>>>>> 
>>>>> Sorte ai.
>>>>> 
>>>>> Abs,
>>>>> 
>>>>> --
>>>>> Eduardo Schoedler
>>>> 
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>> 
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> 
> -- 
> Sds.
> 
> Alexandre Jeronimo Correa
> Onda Internet
> Office: +55 34 3351 3077
> www.onda.net.br
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter