[GTER] DDoS DNS Reflection attack

Uesley Correa uesleycorrea at gmail.com
Tue Jun 28 19:33:16 -03 2016


Alexandre,

Mas BlackLayer e SafeBGP são produtos diferentes. SafeBGP é tipo "cymru" só
que no Brasil, só trabalha com rotas mesmo. Não limpa tráfego como a
BlackLayer.

Att,

Uesley Corrêa - Analista de Telecomunicações
Instrutor Oficial UBNT UBRSS, UBRSA, UBWS & UBWA

Em 28 de junho de 2016 15:00, Alexandre J. Correa (Onda) <
alexandre at onda.net.br> escreveu:

> Uesley, funciona sim...
>
> Estamos sendo protegidos pela BlackLayer !!
>
> Eles mitigam o ataque e nos devolvem o trafego limpo, eh o que esta nos
> mantendo online pois os ataques ainda continuam....
>
>
>
> Em 28/06/2016 07:44, Uesley Correa escreveu:
>
>> Diorges,
>>
>> Acho que não. O ataque chega, e se é em UDP (não precisa de confirmação do
>> pacote), é bem mais complicada a mitigação, e tem que ser feita nos
>> intermédios. O problema do DDoS é que com a fonte mudando, e possivelmente
>> spoofada, lasca o bagulho de vez.
>>
>> Att,
>>
>> Uesley Corrêa - Analista de Telecomunicações
>> Instrutor Oficial UBNT UBRSS, UBRSA, UBWS & UBWA
>>
>> Em 27 de junho de 2016 23:12, Diorges Rocha <diorgesl at gmail.com>
>> escreveu:
>>
>> SafeBGP não resolveria esse ataque?
>>> Em 27 de jun de 2016 6:26 PM, "Elizandro Pacheco [ Pacheco Tecnologia ]"
>>> <
>>> elizandro at pachecotecnologia.net> escreveu:
>>>
>>> Eu falei sobre isso, e cuidados extremamente básicos que os provedores
>>>> deveriam tomar na GTER-40.
>>>>
>>>> Tem número, de dns, ssdp, ntp..  e eles são realmente assustadores.
>>>>
>>>> Segue:
>>>>
>>>> DNS + SSDP + NTP Prevenção é a melhor solução <
>>>>
>>>>
>>> https://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rja&uact=8&ved=0ahUKEwjxg66TmsnNAhWEC5AKHXsJDPoQFgghMAE&url=ftp%3A%2F%2Fftp.registro.br%2Fpub%2Fgter%2Fgter40%2F01-AmplificacaoNTPSSDPDNS.pdf&usg=AFQjCNF7FQH3I-8_mECk72eWQ8HT4iIXug&bvm=bv.125596728,d.Y2I
>>>
>>>>
>>>> Elizandro Pacheco
>>>>
>>>>
>>>> Em 27 de jun de 2016, à(s) 13:49, Alexandre J. Correa (Onda) <
>>>>>
>>>> alexandre at onda.net.br> escreveu:
>>>>
>>>>> Recebo muito nacional também, amplificado, andei coletando umas
>>>>>
>>>> informações e vários provedores conhecidos possuem problemas de DNS
>>>>
>>> aberto:
>>>
>>>> Optitel
>>>>> Baydenet
>>>>> e varias outras.. havia feito uma lista, acabei perdendo o texto..
>>>>>
>>>>> o ataque mudou para syn-flood com origem spoofada, portas randomicas..
>>>>>
>>>> e
>>>
>>>> em todo bloco ....
>>>>
>>>>> estamos mitigando .... .. cansado mas esta dando certo..
>>>>>
>>>>> me falaram do staminus.net ... estou verificando (o site do staminus
>>>>>
>>>> estava fora ontem).
>>>>
>>>>>
>>>>> Em 27/06/2016 11:55, Bruno Cesar escreveu:
>>>>>
>>>>>> Alexandre, esse ataque é característico de botnets.
>>>>>>
>>>>>> Pela quantidade de trafego o bloqueio via Firewall ou ACL não seria
>>>>>> efetivo, terá que mitigar esses pacotes nas camadas acima, dependendo
>>>>>>
>>>>> da(s)
>>>>
>>>>> operadora(s) que esteja utilizando e do impacto no seu ambiente
>>>>>>
>>>>> poderia
>>>
>>>> provisoriamente bloquear trafego internacional até o ataque parar.
>>>>>>
>>>>>> Outra opção é utilizar serviços Anti Ddos de fora, baseados em Proxy
>>>>>> reversos e CDNs, recomendo alguns:
>>>>>>
>>>>>> https://www.hyperfilter.com/
>>>>>> https://www.incapsula.com/
>>>>>>
>>>>>> No Brasil existem algumas empresas também, mas o preço para trafego
>>>>>> mitigado será alto.
>>>>>>
>>>>>> Abs.
>>>>>>
>>>>>> --
>>>>>> Bruno Cesar
>>>>>>
>>>>>>
>>>>>> 2016-06-27 7:39 GMT-03:00 Ricardo Rodrigues <rcr.listas at gmail.com>:
>>>>>>
>>>>>> Bom dia.
>>>>>>>
>>>>>>> Este domínio está sendo usado para amplificação por estar assinado
>>>>>>>
>>>>>> com
>>>
>>>> DNSSEC. Não é um domínio malicioso mas está sendo usado para ataque.
>>>>>>>
>>>>>>> Se você é a vítima, e parece ser o seu caso, tem que atuar na camada
>>>>>>>
>>>>>> de
>>>
>>>> rede e roteamento. Apenas certifique-se que as consultas DNS não
>>>>>>>
>>>>>> estão
>>>
>>>> partindo de sua rede.
>>>>>>>
>>>>>>> Se seu DNS recursivo estivesse recebendo as consultas DNS por esse
>>>>>>>
>>>>>> domínio,
>>>>
>>>>> não seria recomendado fazer drop de todas as consultas pois isso pode
>>>>>>>
>>>>>> gerar
>>>>
>>>>> impacto a algum usuário que efetivamente queira acessar o domínio.
>>>>>>>
>>>>>> Para
>>>
>>>> mitigar ataques de amplificação usando domínios não-maliciosos,
>>>>>>> recomenda-se aplicar rate-limiting devolvendo uma resposta "truncada"
>>>>>>>
>>>>>> nas
>>>>
>>>>> consultas que passarem o limite definido. Isso dá chance para que um
>>>>>>> usuário fazendo uma consulta legítima consiga acessar o domínio
>>>>>>>
>>>>>> desejado.
>>>>
>>>>> Pode ser um rate-limiting genérico pelo tipo de consulta (geralmente
>>>>>>>
>>>>>> ANY)
>>>>
>>>>> ou específico por nome de domínio ou nome de domínio + tipo de
>>>>>>>
>>>>>> consulta.
>>>>
>>>>> Isso requer que seu DNS recursivo também limite o número de consultas
>>>>>>>
>>>>>> via
>>>>
>>>>> TCP.
>>>>>>>
>>>>>>> Abs,
>>>>>>> Ricardo
>>>>>>>
>>>>>>>
>>>>>>> Em 27 de junho de 2016 05:09, Bruno Cabral <bruno at openline.com.br>
>>>>>>> escreveu:
>>>>>>>
>>>>>>> O problema é que ele vai receber o tráfego, para dropar no roteador
>>>>>>>>
>>>>>>> dele.
>>>>
>>>>> E presumo 24Gb é bem mais do que ele tem de banda.
>>>>>>>> !3runo
>>>>>>>>
>>>>>>>> --Cursos e Consultoria BGP e OSPF
>>>>>>>>
>>>>>>>> Alexandre,
>>>>>>>>>
>>>>>>>>> Basicamente você pode dropar as consultas aos dns atacados.
>>>>>>>>> Eu uso regras assim:
>>>>>>>>>
>>>>>>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
>>>>>>>>> --hex-string '|05|rd588|03|com|000001|' --to 255 -j DROP -m comment
>>>>>>>>> --comment "DROP A rd588.com"
>>>>>>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
>>>>>>>>> --hex-string '|05|ps780|03|com|000001|' --to 255 -j DROP -m comment
>>>>>>>>> --comment "DROP A ps780.com"
>>>>>>>>>
>>>>>>>>> Note que entre pipes é o contador de caracteres da sequencia.
>>>>>>>>> Exemplo com o seu domínio onda.net.br:
>>>>>>>>>
>>>>>>>>> -m string --algo bm --hex-string '|04|onda|03|net|02|br|000001|'
>>>>>>>>>
>>>>>>>>> 000001 significa consulta consulta "IN A", ou seja, uma consulta
>>>>>>>>>
>>>>>>>> IPv4.
>>>>
>>>>> Sorte ai.
>>>>>>>>>
>>>>>>>>> Abs,
>>>>>>>>>
>>>>>>>>> --
>>>>>>>>> Eduardo Schoedler
>>>>>>>>>
>>>>>>>> --
>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>
>>>>>>>> --
>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>
>>>>>>> --
>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>
>>>>> --
>>>>> Sds.
>>>>>
>>>>> Alexandre Jeronimo Correa
>>>>> Onda Internet
>>>>> Office: +55 34 3351 3077
>>>>> www.onda.net.br
>>>>>
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
> Onda Internet
> Office: +55 34 3351 3077
> www.onda.net.br
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list