[GTER] RES: DDoS DNS Reflection attack
Uesley Correa
uesleycorrea at gmail.com
Wed Jun 29 10:20:45 -03 2016
Só precisa saber se TIWS, Algar, G8 e etc usam SafeBGP.
Att,
Uesley Corrêa - Analista de Telecomunicações
Instrutor Oficial UBNT UBRSS, UBRSA, UBWS & UBWA
Em 29 de junho de 2016 09:10, João de Sousa <joaodesousa at gmail.com>
escreveu:
> Bom dia.
>
> Sabem me dizer o endereço do SafeBGP ? Procurei no google e não achei...
>
> Obrigado,
>
> Att.,
>
> João de Sousa
>
> -----Mensagem original-----
> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Uesley Correa
> Enviada em: terça-feira, 28 de junho de 2016 19:33
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> gter at eng.registro.br>
> Assunto: Re: [GTER] DDoS DNS Reflection attack
>
> Alexandre,
>
> Mas BlackLayer e SafeBGP são produtos diferentes. SafeBGP é tipo "cymru"
> só que no Brasil, só trabalha com rotas mesmo. Não limpa tráfego como a
> BlackLayer.
>
> Att,
>
> Uesley Corrêa - Analista de Telecomunicações Instrutor Oficial UBNT UBRSS,
> UBRSA, UBWS & UBWA
>
> Em 28 de junho de 2016 15:00, Alexandre J. Correa (Onda) <
> alexandre at onda.net.br> escreveu:
>
> > Uesley, funciona sim...
> >
> > Estamos sendo protegidos pela BlackLayer !!
> >
> > Eles mitigam o ataque e nos devolvem o trafego limpo, eh o que esta
> > nos mantendo online pois os ataques ainda continuam....
> >
> >
> >
> > Em 28/06/2016 07:44, Uesley Correa escreveu:
> >
> >> Diorges,
> >>
> >> Acho que não. O ataque chega, e se é em UDP (não precisa de
> >> confirmação do pacote), é bem mais complicada a mitigação, e tem que
> >> ser feita nos intermédios. O problema do DDoS é que com a fonte
> >> mudando, e possivelmente spoofada, lasca o bagulho de vez.
> >>
> >> Att,
> >>
> >> Uesley Corrêa - Analista de Telecomunicações Instrutor Oficial UBNT
> >> UBRSS, UBRSA, UBWS & UBWA
> >>
> >> Em 27 de junho de 2016 23:12, Diorges Rocha <diorgesl at gmail.com>
> >> escreveu:
> >>
> >> SafeBGP não resolveria esse ataque?
> >>> Em 27 de jun de 2016 6:26 PM, "Elizandro Pacheco [ Pacheco Tecnologia
> ]"
> >>> <
> >>> elizandro at pachecotecnologia.net> escreveu:
> >>>
> >>> Eu falei sobre isso, e cuidados extremamente básicos que os
> >>> provedores
> >>>> deveriam tomar na GTER-40.
> >>>>
> >>>> Tem número, de dns, ssdp, ntp.. e eles são realmente assustadores.
> >>>>
> >>>> Segue:
> >>>>
> >>>> DNS + SSDP + NTP Prevenção é a melhor solução <
> >>>>
> >>>>
> >>> https://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&c
> >>> ad=rja&uact=8&ved=0ahUKEwjxg66TmsnNAhWEC5AKHXsJDPoQFgghMAE&url=ftp%3
> >>> A%2F%2Fftp.registro.br%2Fpub%2Fgter%2Fgter40%2F01-AmplificacaoNTPSSD
> >>> PDNS.pdf&usg=AFQjCNF7FQH3I-8_mECk72eWQ8HT4iIXug&bvm=bv.125596728,d.Y
> >>> 2I
> >>>
> >>>>
> >>>> Elizandro Pacheco
> >>>>
> >>>>
> >>>> Em 27 de jun de 2016, à(s) 13:49, Alexandre J. Correa (Onda) <
> >>>>>
> >>>> alexandre at onda.net.br> escreveu:
> >>>>
> >>>>> Recebo muito nacional também, amplificado, andei coletando umas
> >>>>>
> >>>> informações e vários provedores conhecidos possuem problemas de DNS
> >>>>
> >>> aberto:
> >>>
> >>>> Optitel
> >>>>> Baydenet
> >>>>> e varias outras.. havia feito uma lista, acabei perdendo o texto..
> >>>>>
> >>>>> o ataque mudou para syn-flood com origem spoofada, portas
> randomicas..
> >>>>>
> >>>> e
> >>>
> >>>> em todo bloco ....
> >>>>
> >>>>> estamos mitigando .... .. cansado mas esta dando certo..
> >>>>>
> >>>>> me falaram do staminus.net ... estou verificando (o site do
> >>>>> staminus
> >>>>>
> >>>> estava fora ontem).
> >>>>
> >>>>>
> >>>>> Em 27/06/2016 11:55, Bruno Cesar escreveu:
> >>>>>
> >>>>>> Alexandre, esse ataque é característico de botnets.
> >>>>>>
> >>>>>> Pela quantidade de trafego o bloqueio via Firewall ou ACL não
> >>>>>> seria efetivo, terá que mitigar esses pacotes nas camadas acima,
> >>>>>> dependendo
> >>>>>>
> >>>>> da(s)
> >>>>
> >>>>> operadora(s) que esteja utilizando e do impacto no seu ambiente
> >>>>>>
> >>>>> poderia
> >>>
> >>>> provisoriamente bloquear trafego internacional até o ataque parar.
> >>>>>>
> >>>>>> Outra opção é utilizar serviços Anti Ddos de fora, baseados em
> >>>>>> Proxy reversos e CDNs, recomendo alguns:
> >>>>>>
> >>>>>> https://www.hyperfilter.com/
> >>>>>> https://www.incapsula.com/
> >>>>>>
> >>>>>> No Brasil existem algumas empresas também, mas o preço para
> >>>>>> trafego mitigado será alto.
> >>>>>>
> >>>>>> Abs.
> >>>>>>
> >>>>>> --
> >>>>>> Bruno Cesar
> >>>>>>
> >>>>>>
> >>>>>> 2016-06-27 7:39 GMT-03:00 Ricardo Rodrigues <rcr.listas at gmail.com>:
> >>>>>>
> >>>>>> Bom dia.
> >>>>>>>
> >>>>>>> Este domínio está sendo usado para amplificação por estar
> >>>>>>> assinado
> >>>>>>>
> >>>>>> com
> >>>
> >>>> DNSSEC. Não é um domínio malicioso mas está sendo usado para ataque.
> >>>>>>>
> >>>>>>> Se você é a vítima, e parece ser o seu caso, tem que atuar na
> >>>>>>> camada
> >>>>>>>
> >>>>>> de
> >>>
> >>>> rede e roteamento. Apenas certifique-se que as consultas DNS não
> >>>>>>>
> >>>>>> estão
> >>>
> >>>> partindo de sua rede.
> >>>>>>>
> >>>>>>> Se seu DNS recursivo estivesse recebendo as consultas DNS por
> >>>>>>> esse
> >>>>>>>
> >>>>>> domínio,
> >>>>
> >>>>> não seria recomendado fazer drop de todas as consultas pois isso
> >>>>> pode
> >>>>>>>
> >>>>>> gerar
> >>>>
> >>>>> impacto a algum usuário que efetivamente queira acessar o domínio.
> >>>>>>>
> >>>>>> Para
> >>>
> >>>> mitigar ataques de amplificação usando domínios não-maliciosos,
> >>>>>>> recomenda-se aplicar rate-limiting devolvendo uma resposta
> "truncada"
> >>>>>>>
> >>>>>> nas
> >>>>
> >>>>> consultas que passarem o limite definido. Isso dá chance para que
> >>>>> um
> >>>>>>> usuário fazendo uma consulta legítima consiga acessar o domínio
> >>>>>>>
> >>>>>> desejado.
> >>>>
> >>>>> Pode ser um rate-limiting genérico pelo tipo de consulta
> >>>>> (geralmente
> >>>>>>>
> >>>>>> ANY)
> >>>>
> >>>>> ou específico por nome de domínio ou nome de domínio + tipo de
> >>>>>>>
> >>>>>> consulta.
> >>>>
> >>>>> Isso requer que seu DNS recursivo também limite o número de
> >>>>> consultas
> >>>>>>>
> >>>>>> via
> >>>>
> >>>>> TCP.
> >>>>>>>
> >>>>>>> Abs,
> >>>>>>> Ricardo
> >>>>>>>
> >>>>>>>
> >>>>>>> Em 27 de junho de 2016 05:09, Bruno Cabral
> >>>>>>> <bruno at openline.com.br>
> >>>>>>> escreveu:
> >>>>>>>
> >>>>>>> O problema é que ele vai receber o tráfego, para dropar no
> >>>>>>> roteador
> >>>>>>>>
> >>>>>>> dele.
> >>>>
> >>>>> E presumo 24Gb é bem mais do que ele tem de banda.
> >>>>>>>> !3runo
> >>>>>>>>
> >>>>>>>> --Cursos e Consultoria BGP e OSPF
> >>>>>>>>
> >>>>>>>> Alexandre,
> >>>>>>>>>
> >>>>>>>>> Basicamente você pode dropar as consultas aos dns atacados.
> >>>>>>>>> Eu uso regras assim:
> >>>>>>>>>
> >>>>>>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> >>>>>>>>> --hex-string '|05|rd588|03|com|000001|' --to 255 -j DROP -m
> >>>>>>>>> comment --comment "DROP A rd588.com"
> >>>>>>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo bm
> >>>>>>>>> --hex-string '|05|ps780|03|com|000001|' --to 255 -j DROP -m
> >>>>>>>>> comment --comment "DROP A ps780.com"
> >>>>>>>>>
> >>>>>>>>> Note que entre pipes é o contador de caracteres da sequencia.
> >>>>>>>>> Exemplo com o seu domínio onda.net.br:
> >>>>>>>>>
> >>>>>>>>> -m string --algo bm --hex-string '|04|onda|03|net|02|br|000001|'
> >>>>>>>>>
> >>>>>>>>> 000001 significa consulta consulta "IN A", ou seja, uma
> >>>>>>>>> consulta
> >>>>>>>>>
> >>>>>>>> IPv4.
> >>>>
> >>>>> Sorte ai.
> >>>>>>>>>
> >>>>>>>>> Abs,
> >>>>>>>>>
> >>>>>>>>> --
> >>>>>>>>> Eduardo Schoedler
> >>>>>>>>>
> >>>>>>>> --
> >>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>>
> >>>>>>>> --
> >>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>
> >>>>>>> --
> >>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>
> >>>>>
> >>>>> --
> >>>>> Sds.
> >>>>>
> >>>>> Alexandre Jeronimo Correa
> >>>>> Onda Internet
> >>>>> Office: +55 34 3351 3077
> >>>>> www.onda.net.br
> >>>>>
> >>>>> --
> >>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>
> >>>> --
> >>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>> --
> >>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>
> >>> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
> > --
> > Sds.
> >
> > Alexandre Jeronimo Correa
> > Onda Internet
> > Office: +55 34 3351 3077
> > www.onda.net.br
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list