[GTER] DDoS DNS Reflection attack
Uesley Correa
uesleycorrea at gmail.com
Tue Jun 28 07:44:05 -03 2016
Diorges,
Acho que não. O ataque chega, e se é em UDP (não precisa de confirmação do
pacote), é bem mais complicada a mitigação, e tem que ser feita nos
intermédios. O problema do DDoS é que com a fonte mudando, e possivelmente
spoofada, lasca o bagulho de vez.
Att,
Uesley Corrêa - Analista de Telecomunicações
Instrutor Oficial UBNT UBRSS, UBRSA, UBWS & UBWA
Em 27 de junho de 2016 23:12, Diorges Rocha <diorgesl at gmail.com> escreveu:
> SafeBGP não resolveria esse ataque?
> Em 27 de jun de 2016 6:26 PM, "Elizandro Pacheco [ Pacheco Tecnologia ]" <
> elizandro at pachecotecnologia.net> escreveu:
>
> > Eu falei sobre isso, e cuidados extremamente básicos que os provedores
> > deveriam tomar na GTER-40.
> >
> > Tem número, de dns, ssdp, ntp.. e eles são realmente assustadores.
> >
> > Segue:
> >
> > DNS + SSDP + NTP Prevenção é a melhor solução <
> >
> https://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rja&uact=8&ved=0ahUKEwjxg66TmsnNAhWEC5AKHXsJDPoQFgghMAE&url=ftp%3A%2F%2Fftp.registro.br%2Fpub%2Fgter%2Fgter40%2F01-AmplificacaoNTPSSDPDNS.pdf&usg=AFQjCNF7FQH3I-8_mECk72eWQ8HT4iIXug&bvm=bv.125596728,d.Y2I
> > >
> >
> >
> > Elizandro Pacheco
> >
> >
> > > Em 27 de jun de 2016, à(s) 13:49, Alexandre J. Correa (Onda) <
> > alexandre at onda.net.br> escreveu:
> > >
> > > Recebo muito nacional também, amplificado, andei coletando umas
> > informações e vários provedores conhecidos possuem problemas de DNS
> aberto:
> > >
> > > Optitel
> > > Baydenet
> > > e varias outras.. havia feito uma lista, acabei perdendo o texto..
> > >
> > > o ataque mudou para syn-flood com origem spoofada, portas randomicas..
> e
> > em todo bloco ....
> > >
> > > estamos mitigando .... .. cansado mas esta dando certo..
> > >
> > > me falaram do staminus.net ... estou verificando (o site do staminus
> > estava fora ontem).
> > >
> > >
> > > Em 27/06/2016 11:55, Bruno Cesar escreveu:
> > >> Alexandre, esse ataque é característico de botnets.
> > >>
> > >> Pela quantidade de trafego o bloqueio via Firewall ou ACL não seria
> > >> efetivo, terá que mitigar esses pacotes nas camadas acima, dependendo
> > da(s)
> > >> operadora(s) que esteja utilizando e do impacto no seu ambiente
> poderia
> > >> provisoriamente bloquear trafego internacional até o ataque parar.
> > >>
> > >> Outra opção é utilizar serviços Anti Ddos de fora, baseados em Proxy
> > >> reversos e CDNs, recomendo alguns:
> > >>
> > >> https://www.hyperfilter.com/
> > >> https://www.incapsula.com/
> > >>
> > >> No Brasil existem algumas empresas também, mas o preço para trafego
> > >> mitigado será alto.
> > >>
> > >> Abs.
> > >>
> > >> --
> > >> Bruno Cesar
> > >>
> > >>
> > >> 2016-06-27 7:39 GMT-03:00 Ricardo Rodrigues <rcr.listas at gmail.com>:
> > >>
> > >>> Bom dia.
> > >>>
> > >>> Este domínio está sendo usado para amplificação por estar assinado
> com
> > >>> DNSSEC. Não é um domínio malicioso mas está sendo usado para ataque.
> > >>>
> > >>> Se você é a vítima, e parece ser o seu caso, tem que atuar na camada
> de
> > >>> rede e roteamento. Apenas certifique-se que as consultas DNS não
> estão
> > >>> partindo de sua rede.
> > >>>
> > >>> Se seu DNS recursivo estivesse recebendo as consultas DNS por esse
> > domínio,
> > >>> não seria recomendado fazer drop de todas as consultas pois isso pode
> > gerar
> > >>> impacto a algum usuário que efetivamente queira acessar o domínio.
> Para
> > >>> mitigar ataques de amplificação usando domínios não-maliciosos,
> > >>> recomenda-se aplicar rate-limiting devolvendo uma resposta "truncada"
> > nas
> > >>> consultas que passarem o limite definido. Isso dá chance para que um
> > >>> usuário fazendo uma consulta legítima consiga acessar o domínio
> > desejado.
> > >>> Pode ser um rate-limiting genérico pelo tipo de consulta (geralmente
> > ANY)
> > >>> ou específico por nome de domínio ou nome de domínio + tipo de
> > consulta.
> > >>> Isso requer que seu DNS recursivo também limite o número de consultas
> > via
> > >>> TCP.
> > >>>
> > >>> Abs,
> > >>> Ricardo
> > >>>
> > >>>
> > >>> Em 27 de junho de 2016 05:09, Bruno Cabral <bruno at openline.com.br>
> > >>> escreveu:
> > >>>
> > >>>> O problema é que ele vai receber o tráfego, para dropar no roteador
> > dele.
> > >>>> E presumo 24Gb é bem mais do que ele tem de banda.
> > >>>> !3runo
> > >>>>
> > >>>> --Cursos e Consultoria BGP e OSPF
> > >>>>
> > >>>>> Alexandre,
> > >>>>>
> > >>>>> Basicamente você pode dropar as consultas aos dns atacados.
> > >>>>> Eu uso regras assim:
> > >>>>>
> > >>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> > >>>>> --hex-string '|05|rd588|03|com|000001|' --to 255 -j DROP -m comment
> > >>>>> --comment "DROP A rd588.com"
> > >>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> > >>>>> --hex-string '|05|ps780|03|com|000001|' --to 255 -j DROP -m comment
> > >>>>> --comment "DROP A ps780.com"
> > >>>>>
> > >>>>> Note que entre pipes é o contador de caracteres da sequencia.
> > >>>>> Exemplo com o seu domínio onda.net.br:
> > >>>>>
> > >>>>> -m string --algo bm --hex-string '|04|onda|03|net|02|br|000001|'
> > >>>>>
> > >>>>> 000001 significa consulta consulta "IN A", ou seja, uma consulta
> > IPv4.
> > >>>>>
> > >>>>> Sorte ai.
> > >>>>>
> > >>>>> Abs,
> > >>>>>
> > >>>>> --
> > >>>>> Eduardo Schoedler
> > >>>>
> > >>>> --
> > >>>> gter list https://eng.registro.br/mailman/listinfo/gter
> > >>>>
> > >>> --
> > >>> gter list https://eng.registro.br/mailman/listinfo/gter
> > >>>
> > >> --
> > >> gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> > >
> > > --
> > > Sds.
> > >
> > > Alexandre Jeronimo Correa
> > > Onda Internet
> > > Office: +55 34 3351 3077
> > > www.onda.net.br
> > >
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list