[GTER] DDoS DNS Reflection attack
Diorges Rocha - Radionet Telecom
diorges at radionet.net.br
Wed Jun 29 09:46:48 -03 2016
Eu falo pelo seguinte, o SafeBGP dropa o trafego la no começo, pois
geralmente o pessoal usa SafeBGP, e se o trafego é dropado antes de chegar
em vez talvez resolve.
Em 28 de junho de 2016 18:33, Uesley Correa <uesleycorrea at gmail.com>
escreveu:
> Alexandre,
>
> Mas BlackLayer e SafeBGP são produtos diferentes. SafeBGP é tipo "cymru" só
> que no Brasil, só trabalha com rotas mesmo. Não limpa tráfego como a
> BlackLayer.
>
> Att,
>
> Uesley Corrêa - Analista de Telecomunicações
> Instrutor Oficial UBNT UBRSS, UBRSA, UBWS & UBWA
>
> Em 28 de junho de 2016 15:00, Alexandre J. Correa (Onda) <
> alexandre at onda.net.br> escreveu:
>
> > Uesley, funciona sim...
> >
> > Estamos sendo protegidos pela BlackLayer !!
> >
> > Eles mitigam o ataque e nos devolvem o trafego limpo, eh o que esta nos
> > mantendo online pois os ataques ainda continuam....
> >
> >
> >
> > Em 28/06/2016 07:44, Uesley Correa escreveu:
> >
> >> Diorges,
> >>
> >> Acho que não. O ataque chega, e se é em UDP (não precisa de confirmação
> do
> >> pacote), é bem mais complicada a mitigação, e tem que ser feita nos
> >> intermédios. O problema do DDoS é que com a fonte mudando, e
> possivelmente
> >> spoofada, lasca o bagulho de vez.
> >>
> >> Att,
> >>
> >> Uesley Corrêa - Analista de Telecomunicações
> >> Instrutor Oficial UBNT UBRSS, UBRSA, UBWS & UBWA
> >>
> >> Em 27 de junho de 2016 23:12, Diorges Rocha <diorgesl at gmail.com>
> >> escreveu:
> >>
> >> SafeBGP não resolveria esse ataque?
> >>> Em 27 de jun de 2016 6:26 PM, "Elizandro Pacheco [ Pacheco Tecnologia
> ]"
> >>> <
> >>> elizandro at pachecotecnologia.net> escreveu:
> >>>
> >>> Eu falei sobre isso, e cuidados extremamente básicos que os provedores
> >>>> deveriam tomar na GTER-40.
> >>>>
> >>>> Tem número, de dns, ssdp, ntp.. e eles são realmente assustadores.
> >>>>
> >>>> Segue:
> >>>>
> >>>> DNS + SSDP + NTP Prevenção é a melhor solução <
> >>>>
> >>>>
> >>>
> https://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&cad=rja&uact=8&ved=0ahUKEwjxg66TmsnNAhWEC5AKHXsJDPoQFgghMAE&url=ftp%3A%2F%2Fftp.registro.br%2Fpub%2Fgter%2Fgter40%2F01-AmplificacaoNTPSSDPDNS.pdf&usg=AFQjCNF7FQH3I-8_mECk72eWQ8HT4iIXug&bvm=bv.125596728,d.Y2I
> >>>
> >>>>
> >>>> Elizandro Pacheco
> >>>>
> >>>>
> >>>> Em 27 de jun de 2016, à(s) 13:49, Alexandre J. Correa (Onda) <
> >>>>>
> >>>> alexandre at onda.net.br> escreveu:
> >>>>
> >>>>> Recebo muito nacional também, amplificado, andei coletando umas
> >>>>>
> >>>> informações e vários provedores conhecidos possuem problemas de DNS
> >>>>
> >>> aberto:
> >>>
> >>>> Optitel
> >>>>> Baydenet
> >>>>> e varias outras.. havia feito uma lista, acabei perdendo o texto..
> >>>>>
> >>>>> o ataque mudou para syn-flood com origem spoofada, portas
> randomicas..
> >>>>>
> >>>> e
> >>>
> >>>> em todo bloco ....
> >>>>
> >>>>> estamos mitigando .... .. cansado mas esta dando certo..
> >>>>>
> >>>>> me falaram do staminus.net ... estou verificando (o site do staminus
> >>>>>
> >>>> estava fora ontem).
> >>>>
> >>>>>
> >>>>> Em 27/06/2016 11:55, Bruno Cesar escreveu:
> >>>>>
> >>>>>> Alexandre, esse ataque é característico de botnets.
> >>>>>>
> >>>>>> Pela quantidade de trafego o bloqueio via Firewall ou ACL não seria
> >>>>>> efetivo, terá que mitigar esses pacotes nas camadas acima,
> dependendo
> >>>>>>
> >>>>> da(s)
> >>>>
> >>>>> operadora(s) que esteja utilizando e do impacto no seu ambiente
> >>>>>>
> >>>>> poderia
> >>>
> >>>> provisoriamente bloquear trafego internacional até o ataque parar.
> >>>>>>
> >>>>>> Outra opção é utilizar serviços Anti Ddos de fora, baseados em Proxy
> >>>>>> reversos e CDNs, recomendo alguns:
> >>>>>>
> >>>>>> https://www.hyperfilter.com/
> >>>>>> https://www.incapsula.com/
> >>>>>>
> >>>>>> No Brasil existem algumas empresas também, mas o preço para trafego
> >>>>>> mitigado será alto.
> >>>>>>
> >>>>>> Abs.
> >>>>>>
> >>>>>> --
> >>>>>> Bruno Cesar
> >>>>>>
> >>>>>>
> >>>>>> 2016-06-27 7:39 GMT-03:00 Ricardo Rodrigues <rcr.listas at gmail.com>:
> >>>>>>
> >>>>>> Bom dia.
> >>>>>>>
> >>>>>>> Este domínio está sendo usado para amplificação por estar assinado
> >>>>>>>
> >>>>>> com
> >>>
> >>>> DNSSEC. Não é um domínio malicioso mas está sendo usado para ataque.
> >>>>>>>
> >>>>>>> Se você é a vítima, e parece ser o seu caso, tem que atuar na
> camada
> >>>>>>>
> >>>>>> de
> >>>
> >>>> rede e roteamento. Apenas certifique-se que as consultas DNS não
> >>>>>>>
> >>>>>> estão
> >>>
> >>>> partindo de sua rede.
> >>>>>>>
> >>>>>>> Se seu DNS recursivo estivesse recebendo as consultas DNS por esse
> >>>>>>>
> >>>>>> domínio,
> >>>>
> >>>>> não seria recomendado fazer drop de todas as consultas pois isso pode
> >>>>>>>
> >>>>>> gerar
> >>>>
> >>>>> impacto a algum usuário que efetivamente queira acessar o domínio.
> >>>>>>>
> >>>>>> Para
> >>>
> >>>> mitigar ataques de amplificação usando domínios não-maliciosos,
> >>>>>>> recomenda-se aplicar rate-limiting devolvendo uma resposta
> "truncada"
> >>>>>>>
> >>>>>> nas
> >>>>
> >>>>> consultas que passarem o limite definido. Isso dá chance para que um
> >>>>>>> usuário fazendo uma consulta legítima consiga acessar o domínio
> >>>>>>>
> >>>>>> desejado.
> >>>>
> >>>>> Pode ser um rate-limiting genérico pelo tipo de consulta (geralmente
> >>>>>>>
> >>>>>> ANY)
> >>>>
> >>>>> ou específico por nome de domínio ou nome de domínio + tipo de
> >>>>>>>
> >>>>>> consulta.
> >>>>
> >>>>> Isso requer que seu DNS recursivo também limite o número de consultas
> >>>>>>>
> >>>>>> via
> >>>>
> >>>>> TCP.
> >>>>>>>
> >>>>>>> Abs,
> >>>>>>> Ricardo
> >>>>>>>
> >>>>>>>
> >>>>>>> Em 27 de junho de 2016 05:09, Bruno Cabral <bruno at openline.com.br>
> >>>>>>> escreveu:
> >>>>>>>
> >>>>>>> O problema é que ele vai receber o tráfego, para dropar no roteador
> >>>>>>>>
> >>>>>>> dele.
> >>>>
> >>>>> E presumo 24Gb é bem mais do que ele tem de banda.
> >>>>>>>> !3runo
> >>>>>>>>
> >>>>>>>> --Cursos e Consultoria BGP e OSPF
> >>>>>>>>
> >>>>>>>> Alexandre,
> >>>>>>>>>
> >>>>>>>>> Basicamente você pode dropar as consultas aos dns atacados.
> >>>>>>>>> Eu uso regras assim:
> >>>>>>>>>
> >>>>>>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> >>>>>>>>> --hex-string '|05|rd588|03|com|000001|' --to 255 -j DROP -m
> comment
> >>>>>>>>> --comment "DROP A rd588.com"
> >>>>>>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> >>>>>>>>> --hex-string '|05|ps780|03|com|000001|' --to 255 -j DROP -m
> comment
> >>>>>>>>> --comment "DROP A ps780.com"
> >>>>>>>>>
> >>>>>>>>> Note que entre pipes é o contador de caracteres da sequencia.
> >>>>>>>>> Exemplo com o seu domínio onda.net.br:
> >>>>>>>>>
> >>>>>>>>> -m string --algo bm --hex-string '|04|onda|03|net|02|br|000001|'
> >>>>>>>>>
> >>>>>>>>> 000001 significa consulta consulta "IN A", ou seja, uma consulta
> >>>>>>>>>
> >>>>>>>> IPv4.
> >>>>
> >>>>> Sorte ai.
> >>>>>>>>>
> >>>>>>>>> Abs,
> >>>>>>>>>
> >>>>>>>>> --
> >>>>>>>>> Eduardo Schoedler
> >>>>>>>>>
> >>>>>>>> --
> >>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>>
> >>>>>>>> --
> >>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>
> >>>>>>> --
> >>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>
> >>>>>
> >>>>> --
> >>>>> Sds.
> >>>>>
> >>>>> Alexandre Jeronimo Correa
> >>>>> Onda Internet
> >>>>> Office: +55 34 3351 3077
> >>>>> www.onda.net.br
> >>>>>
> >>>>> --
> >>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>
> >>>> --
> >>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>> --
> >>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>
> >>> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
> > --
> > Sds.
> >
> > Alexandre Jeronimo Correa
> > Onda Internet
> > Office: +55 34 3351 3077
> > www.onda.net.br
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Diorges Rocha
Gerente de TI
Tel.: (67) 3451-4035
Cel.: (67) 9938-1105
R. Edson Bezerra, 685 - Centro
Itaporã - MS - Brasil
CEP 79890-000
More information about the gter
mailing list