[GTER] DDoS DNS Reflection attack

Alexandre J. Correa (Onda) alexandre at onda.net.br
Tue Jun 28 15:00:06 -03 2016 

Uesley, funciona sim...

Estamos sendo protegidos pela BlackLayer !!

Eles mitigam o ataque e nos devolvem o trafego limpo, eh o que esta nos 
mantendo online pois os ataques ainda continuam....


Em 28/06/2016 07:44, Uesley Correa escreveu:
> Diorges,
>
> Acho que não. O ataque chega, e se é em UDP (não precisa de confirmação do
> pacote), é bem mais complicada a mitigação, e tem que ser feita nos
> intermédios. O problema do DDoS é que com a fonte mudando, e possivelmente
> spoofada, lasca o bagulho de vez.
>
> Att,
>
> Uesley Corrêa - Analista de Telecomunicações
> Instrutor Oficial UBNT UBRSS, UBRSA, UBWS & UBWA
>
> Em 27 de junho de 2016 23:12, Diorges Rocha <diorgesl at gmail.com> escreveu:
>
>> SafeBGP não resolveria esse ataque?
>> Em 27 de jun de 2016 6:26 PM, "Elizandro Pacheco [ Pacheco Tecnologia ]" <
>> elizandro at pachecotecnologia.net> escreveu:
>>
>>> Eu falei sobre isso, e cuidados extremamente básicos que os provedores
>>> deveriam tomar na GTER-40.
>>>
>>> Tem número, de dns, ssdp, ntp..  e eles são realmente assustadores.
>>>
>>> Segue:
>>>
>>> DNS + SSDP + NTP Prevenção é a melhor solução <
>>>
>> https://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rja&uact=8&ved=0ahUKEwjxg66TmsnNAhWEC5AKHXsJDPoQFgghMAE&url=ftp%3A%2F%2Fftp.registro.br%2Fpub%2Fgter%2Fgter40%2F01-AmplificacaoNTPSSDPDNS.pdf&usg=AFQjCNF7FQH3I-8_mECk72eWQ8HT4iIXug&bvm=bv.125596728,d.Y2I
>>>
>>> Elizandro Pacheco
>>>
>>>
>>>> Em 27 de jun de 2016, à(s) 13:49, Alexandre J. Correa (Onda) <
>>> alexandre at onda.net.br> escreveu:
>>>> Recebo muito nacional também, amplificado, andei coletando umas
>>> informações e vários provedores conhecidos possuem problemas de DNS
>> aberto:
>>>> Optitel
>>>> Baydenet
>>>> e varias outras.. havia feito uma lista, acabei perdendo o texto..
>>>>
>>>> o ataque mudou para syn-flood com origem spoofada, portas randomicas..
>> e
>>> em todo bloco ....
>>>> estamos mitigando .... .. cansado mas esta dando certo..
>>>>
>>>> me falaram do staminus.net ... estou verificando (o site do staminus
>>> estava fora ontem).
>>>>
>>>> Em 27/06/2016 11:55, Bruno Cesar escreveu:
>>>>> Alexandre, esse ataque é característico de botnets.
>>>>>
>>>>> Pela quantidade de trafego o bloqueio via Firewall ou ACL não seria
>>>>> efetivo, terá que mitigar esses pacotes nas camadas acima, dependendo
>>> da(s)
>>>>> operadora(s) que esteja utilizando e do impacto no seu ambiente
>> poderia
>>>>> provisoriamente bloquear trafego internacional até o ataque parar.
>>>>>
>>>>> Outra opção é utilizar serviços Anti Ddos de fora, baseados em Proxy
>>>>> reversos e CDNs, recomendo alguns:
>>>>>
>>>>> https://www.hyperfilter.com/
>>>>> https://www.incapsula.com/
>>>>>
>>>>> No Brasil existem algumas empresas também, mas o preço para trafego
>>>>> mitigado será alto.
>>>>>
>>>>> Abs.
>>>>>
>>>>> --
>>>>> Bruno Cesar
>>>>>
>>>>>
>>>>> 2016-06-27 7:39 GMT-03:00 Ricardo Rodrigues <rcr.listas at gmail.com>:
>>>>>
>>>>>> Bom dia.
>>>>>>
>>>>>> Este domínio está sendo usado para amplificação por estar assinado
>> com
>>>>>> DNSSEC. Não é um domínio malicioso mas está sendo usado para ataque.
>>>>>>
>>>>>> Se você é a vítima, e parece ser o seu caso, tem que atuar na camada
>> de
>>>>>> rede e roteamento. Apenas certifique-se que as consultas DNS não
>> estão
>>>>>> partindo de sua rede.
>>>>>>
>>>>>> Se seu DNS recursivo estivesse recebendo as consultas DNS por esse
>>> domínio,
>>>>>> não seria recomendado fazer drop de todas as consultas pois isso pode
>>> gerar
>>>>>> impacto a algum usuário que efetivamente queira acessar o domínio.
>> Para
>>>>>> mitigar ataques de amplificação usando domínios não-maliciosos,
>>>>>> recomenda-se aplicar rate-limiting devolvendo uma resposta "truncada"
>>> nas
>>>>>> consultas que passarem o limite definido. Isso dá chance para que um
>>>>>> usuário fazendo uma consulta legítima consiga acessar o domínio
>>> desejado.
>>>>>> Pode ser um rate-limiting genérico pelo tipo de consulta (geralmente
>>> ANY)
>>>>>> ou específico por nome de domínio ou nome de domínio + tipo de
>>> consulta.
>>>>>> Isso requer que seu DNS recursivo também limite o número de consultas
>>> via
>>>>>> TCP.
>>>>>>
>>>>>> Abs,
>>>>>> Ricardo
>>>>>>
>>>>>>
>>>>>> Em 27 de junho de 2016 05:09, Bruno Cabral <bruno at openline.com.br>
>>>>>> escreveu:
>>>>>>
>>>>>>> O problema é que ele vai receber o tráfego, para dropar no roteador
>>> dele.
>>>>>>> E presumo 24Gb é bem mais do que ele tem de banda.
>>>>>>> !3runo
>>>>>>>
>>>>>>> --Cursos e Consultoria BGP e OSPF
>>>>>>>
>>>>>>>> Alexandre,
>>>>>>>>
>>>>>>>> Basicamente você pode dropar as consultas aos dns atacados.
>>>>>>>> Eu uso regras assim:
>>>>>>>>
>>>>>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
>>>>>>>> --hex-string '|05|rd588|03|com|000001|' --to 255 -j DROP -m comment
>>>>>>>> --comment "DROP A rd588.com"
>>>>>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
>>>>>>>> --hex-string '|05|ps780|03|com|000001|' --to 255 -j DROP -m comment
>>>>>>>> --comment "DROP A ps780.com"
>>>>>>>>
>>>>>>>> Note que entre pipes é o contador de caracteres da sequencia.
>>>>>>>> Exemplo com o seu domínio onda.net.br:
>>>>>>>>
>>>>>>>> -m string --algo bm --hex-string '|04|onda|03|net|02|br|000001|'
>>>>>>>>
>>>>>>>> 000001 significa consulta consulta "IN A", ou seja, uma consulta
>>> IPv4.
>>>>>>>> Sorte ai.
>>>>>>>>
>>>>>>>> Abs,
>>>>>>>>
>>>>>>>> --
>>>>>>>> Eduardo Schoedler
>>>>>>> --
>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>
>>>>>> --
>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>> --
>>>> Sds.
>>>>
>>>> Alexandre Jeronimo Correa
>>>> Onda Internet
>>>> Office: +55 34 3351 3077
>>>> www.onda.net.br
>>>>
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter


-- 
Sds.

Alexandre Jeronimo Correa
Onda Internet
Office: +55 34 3351 3077
www.onda.net.br

More information about the gter mailing list