[GTER] RES: DDoS DNS Reflection attack

Felipe Kopp Klasen felipe at gnettelecom.com.br
Wed Jun 29 12:16:29 -03 2016


Tens o contato?
Em 29/06/2016 12:09, "Diorges Rocha - Radionet Telecom" <
diorges at radionet.net.br> escreveu:

> E o pessoal que é responsável por ele no Brasil, da uma semana de teste,
> não custa nada testar pra ver se vai ajudar ou até mesmo resolver.
>
> Em 29 de junho de 2016 10:43, Diorges Rocha - Radionet Telecom <
> diorges at radionet.net.br> escreveu:
>
> > Acredito que por ser um serviço barato e muito bom, acho que a grande
> > maioria usa.
> >
> > Em 29 de junho de 2016 09:20, Uesley Correa <uesleycorrea at gmail.com>
> > escreveu:
> >
> >> Só precisa saber se TIWS, Algar, G8 e etc usam SafeBGP.
> >>
> >> Att,
> >>
> >> Uesley Corrêa - Analista de Telecomunicações
> >> Instrutor Oficial UBNT UBRSS, UBRSA, UBWS & UBWA
> >>
> >> Em 29 de junho de 2016 09:10, João de Sousa <joaodesousa at gmail.com>
> >> escreveu:
> >>
> >> > Bom dia.
> >> >
> >> > Sabem me dizer o endereço do SafeBGP ? Procurei no google e não
> achei...
> >> >
> >> > Obrigado,
> >> >
> >> > Att.,
> >> >
> >> > João de Sousa
> >> >
> >> > -----Mensagem original-----
> >> > De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Uesley
> Correa
> >> > Enviada em: terça-feira, 28 de junho de 2016 19:33
> >> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> >> > gter at eng.registro.br>
> >> > Assunto: Re: [GTER] DDoS DNS Reflection attack
> >> >
> >> > Alexandre,
> >> >
> >> > Mas BlackLayer e SafeBGP são produtos diferentes. SafeBGP é tipo
> "cymru"
> >> > só que no Brasil, só trabalha com rotas mesmo. Não limpa tráfego como
> a
> >> > BlackLayer.
> >> >
> >> > Att,
> >> >
> >> > Uesley Corrêa - Analista de Telecomunicações Instrutor Oficial UBNT
> >> UBRSS,
> >> > UBRSA, UBWS & UBWA
> >> >
> >> > Em 28 de junho de 2016 15:00, Alexandre J. Correa (Onda) <
> >> > alexandre at onda.net.br> escreveu:
> >> >
> >> > > Uesley, funciona sim...
> >> > >
> >> > > Estamos sendo protegidos pela BlackLayer !!
> >> > >
> >> > > Eles mitigam o ataque e nos devolvem o trafego limpo, eh o que esta
> >> > > nos mantendo online pois os ataques ainda continuam....
> >> > >
> >> > >
> >> > >
> >> > > Em 28/06/2016 07:44, Uesley Correa escreveu:
> >> > >
> >> > >> Diorges,
> >> > >>
> >> > >> Acho que não. O ataque chega, e se é em UDP (não precisa de
> >> > >> confirmação do pacote), é bem mais complicada a mitigação, e tem
> que
> >> > >> ser feita nos intermédios. O problema do DDoS é que com a fonte
> >> > >> mudando, e possivelmente spoofada, lasca o bagulho de vez.
> >> > >>
> >> > >> Att,
> >> > >>
> >> > >> Uesley Corrêa - Analista de Telecomunicações Instrutor Oficial UBNT
> >> > >> UBRSS, UBRSA, UBWS & UBWA
> >> > >>
> >> > >> Em 27 de junho de 2016 23:12, Diorges Rocha <diorgesl at gmail.com>
> >> > >> escreveu:
> >> > >>
> >> > >> SafeBGP não resolveria esse ataque?
> >> > >>> Em 27 de jun de 2016 6:26 PM, "Elizandro Pacheco [ Pacheco
> >> Tecnologia
> >> > ]"
> >> > >>> <
> >> > >>> elizandro at pachecotecnologia.net> escreveu:
> >> > >>>
> >> > >>> Eu falei sobre isso, e cuidados extremamente básicos que os
> >> > >>> provedores
> >> > >>>> deveriam tomar na GTER-40.
> >> > >>>>
> >> > >>>> Tem número, de dns, ssdp, ntp..  e eles são realmente
> assustadores.
> >> > >>>>
> >> > >>>> Segue:
> >> > >>>>
> >> > >>>> DNS + SSDP + NTP Prevenção é a melhor solução <
> >> > >>>>
> >> > >>>>
> >> > >>>
> >> https://www.google.com.br/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&c
> >> > >>>
> ad=rja&uact=8&ved=0ahUKEwjxg66TmsnNAhWEC5AKHXsJDPoQFgghMAE&url=ftp%3
> >> > >>> A%2F%2Fftp.registro.br
> >> %2Fpub%2Fgter%2Fgter40%2F01-AmplificacaoNTPSSD
> >> > >>>
> PDNS.pdf&usg=AFQjCNF7FQH3I-8_mECk72eWQ8HT4iIXug&bvm=bv.125596728,d.Y
> >> > >>> 2I
> >> > >>>
> >> > >>>>
> >> > >>>> Elizandro Pacheco
> >> > >>>>
> >> > >>>>
> >> > >>>> Em 27 de jun de 2016, à(s) 13:49, Alexandre J. Correa (Onda) <
> >> > >>>>>
> >> > >>>> alexandre at onda.net.br> escreveu:
> >> > >>>>
> >> > >>>>> Recebo muito nacional também, amplificado, andei coletando umas
> >> > >>>>>
> >> > >>>> informações e vários provedores conhecidos possuem problemas de
> DNS
> >> > >>>>
> >> > >>> aberto:
> >> > >>>
> >> > >>>> Optitel
> >> > >>>>> Baydenet
> >> > >>>>> e varias outras.. havia feito uma lista, acabei perdendo o
> texto..
> >> > >>>>>
> >> > >>>>> o ataque mudou para syn-flood com origem spoofada, portas
> >> > randomicas..
> >> > >>>>>
> >> > >>>> e
> >> > >>>
> >> > >>>> em todo bloco ....
> >> > >>>>
> >> > >>>>> estamos mitigando .... .. cansado mas esta dando certo..
> >> > >>>>>
> >> > >>>>> me falaram do staminus.net ... estou verificando (o site do
> >> > >>>>> staminus
> >> > >>>>>
> >> > >>>> estava fora ontem).
> >> > >>>>
> >> > >>>>>
> >> > >>>>> Em 27/06/2016 11:55, Bruno Cesar escreveu:
> >> > >>>>>
> >> > >>>>>> Alexandre, esse ataque é característico de botnets.
> >> > >>>>>>
> >> > >>>>>> Pela quantidade de trafego o bloqueio via Firewall ou ACL não
> >> > >>>>>> seria efetivo, terá que mitigar esses pacotes nas camadas
> acima,
> >> > >>>>>> dependendo
> >> > >>>>>>
> >> > >>>>> da(s)
> >> > >>>>
> >> > >>>>> operadora(s) que esteja utilizando e do impacto no seu ambiente
> >> > >>>>>>
> >> > >>>>> poderia
> >> > >>>
> >> > >>>> provisoriamente bloquear trafego internacional até o ataque
> parar.
> >> > >>>>>>
> >> > >>>>>> Outra opção é utilizar serviços Anti Ddos de fora, baseados em
> >> > >>>>>> Proxy reversos e CDNs, recomendo alguns:
> >> > >>>>>>
> >> > >>>>>> https://www.hyperfilter.com/
> >> > >>>>>> https://www.incapsula.com/
> >> > >>>>>>
> >> > >>>>>> No Brasil existem algumas empresas também, mas o preço para
> >> > >>>>>> trafego mitigado será alto.
> >> > >>>>>>
> >> > >>>>>> Abs.
> >> > >>>>>>
> >> > >>>>>> --
> >> > >>>>>> Bruno Cesar
> >> > >>>>>>
> >> > >>>>>>
> >> > >>>>>> 2016-06-27 7:39 GMT-03:00 Ricardo Rodrigues <
> >> rcr.listas at gmail.com>:
> >> > >>>>>>
> >> > >>>>>> Bom dia.
> >> > >>>>>>>
> >> > >>>>>>> Este domínio está sendo usado para amplificação por estar
> >> > >>>>>>> assinado
> >> > >>>>>>>
> >> > >>>>>> com
> >> > >>>
> >> > >>>> DNSSEC. Não é um domínio malicioso mas está sendo usado para
> >> ataque.
> >> > >>>>>>>
> >> > >>>>>>> Se você é a vítima, e parece ser o seu caso, tem que atuar na
> >> > >>>>>>> camada
> >> > >>>>>>>
> >> > >>>>>> de
> >> > >>>
> >> > >>>> rede e roteamento. Apenas certifique-se que as consultas DNS não
> >> > >>>>>>>
> >> > >>>>>> estão
> >> > >>>
> >> > >>>> partindo de sua rede.
> >> > >>>>>>>
> >> > >>>>>>> Se seu DNS recursivo estivesse recebendo as consultas DNS por
> >> > >>>>>>> esse
> >> > >>>>>>>
> >> > >>>>>> domínio,
> >> > >>>>
> >> > >>>>> não seria recomendado fazer drop de todas as consultas pois isso
> >> > >>>>> pode
> >> > >>>>>>>
> >> > >>>>>> gerar
> >> > >>>>
> >> > >>>>> impacto a algum usuário que efetivamente queira acessar o
> domínio.
> >> > >>>>>>>
> >> > >>>>>> Para
> >> > >>>
> >> > >>>> mitigar ataques de amplificação usando domínios não-maliciosos,
> >> > >>>>>>> recomenda-se aplicar rate-limiting devolvendo uma resposta
> >> > "truncada"
> >> > >>>>>>>
> >> > >>>>>> nas
> >> > >>>>
> >> > >>>>> consultas que passarem o limite definido. Isso dá chance para
> que
> >> > >>>>> um
> >> > >>>>>>> usuário fazendo uma consulta legítima consiga acessar o
> domínio
> >> > >>>>>>>
> >> > >>>>>> desejado.
> >> > >>>>
> >> > >>>>> Pode ser um rate-limiting genérico pelo tipo de consulta
> >> > >>>>> (geralmente
> >> > >>>>>>>
> >> > >>>>>> ANY)
> >> > >>>>
> >> > >>>>> ou específico por nome de domínio ou nome de domínio + tipo de
> >> > >>>>>>>
> >> > >>>>>> consulta.
> >> > >>>>
> >> > >>>>> Isso requer que seu DNS recursivo também limite o número de
> >> > >>>>> consultas
> >> > >>>>>>>
> >> > >>>>>> via
> >> > >>>>
> >> > >>>>> TCP.
> >> > >>>>>>>
> >> > >>>>>>> Abs,
> >> > >>>>>>> Ricardo
> >> > >>>>>>>
> >> > >>>>>>>
> >> > >>>>>>> Em 27 de junho de 2016 05:09, Bruno Cabral
> >> > >>>>>>> <bruno at openline.com.br>
> >> > >>>>>>> escreveu:
> >> > >>>>>>>
> >> > >>>>>>> O problema é que ele vai receber o tráfego, para dropar no
> >> > >>>>>>> roteador
> >> > >>>>>>>>
> >> > >>>>>>> dele.
> >> > >>>>
> >> > >>>>> E presumo 24Gb é bem mais do que ele tem de banda.
> >> > >>>>>>>> !3runo
> >> > >>>>>>>>
> >> > >>>>>>>> --Cursos e Consultoria BGP e OSPF
> >> > >>>>>>>>
> >> > >>>>>>>> Alexandre,
> >> > >>>>>>>>>
> >> > >>>>>>>>> Basicamente você pode dropar as consultas aos dns atacados.
> >> > >>>>>>>>> Eu uso regras assim:
> >> > >>>>>>>>>
> >> > >>>>>>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo
> bm
> >> > >>>>>>>>> --hex-string '|05|rd588|03|com|000001|' --to 255 -j DROP -m
> >> > >>>>>>>>> comment --comment "DROP A rd588.com"
> >> > >>>>>>>>> /sbin/iptables -A INPUT -p udp --dport 53 -m string --algo
> bm
> >> > >>>>>>>>> --hex-string '|05|ps780|03|com|000001|' --to 255 -j DROP -m
> >> > >>>>>>>>> comment --comment "DROP A ps780.com"
> >> > >>>>>>>>>
> >> > >>>>>>>>> Note que entre pipes é o contador de caracteres da
> sequencia.
> >> > >>>>>>>>> Exemplo com o seu domínio onda.net.br:
> >> > >>>>>>>>>
> >> > >>>>>>>>> -m string --algo bm --hex-string
> >> '|04|onda|03|net|02|br|000001|'
> >> > >>>>>>>>>
> >> > >>>>>>>>> 000001 significa consulta consulta "IN A", ou seja, uma
> >> > >>>>>>>>> consulta
> >> > >>>>>>>>>
> >> > >>>>>>>> IPv4.
> >> > >>>>
> >> > >>>>> Sorte ai.
> >> > >>>>>>>>>
> >> > >>>>>>>>> Abs,
> >> > >>>>>>>>>
> >> > >>>>>>>>> --
> >> > >>>>>>>>> Eduardo Schoedler
> >> > >>>>>>>>>
> >> > >>>>>>>> --
> >> > >>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> > >>>>>>>>
> >> > >>>>>>>> --
> >> > >>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> > >>>>>>>
> >> > >>>>>>> --
> >> > >>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> > >>>>>>
> >> > >>>>>
> >> > >>>>> --
> >> > >>>>> Sds.
> >> > >>>>>
> >> > >>>>> Alexandre Jeronimo Correa
> >> > >>>>> Onda Internet
> >> > >>>>> Office: +55 34 3351 3077
> >> > >>>>> www.onda.net.br
> >> > >>>>>
> >> > >>>>> --
> >> > >>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> > >>>>>
> >> > >>>> --
> >> > >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> > >>>>
> >> > >>> --
> >> > >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> > >>>
> >> > >>> --
> >> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> > >>
> >> > >
> >> > >
> >> > > --
> >> > > Sds.
> >> > >
> >> > > Alexandre Jeronimo Correa
> >> > > Onda Internet
> >> > > Office: +55 34 3351 3077
> >> > > www.onda.net.br
> >> > >
> >> > > --
> >> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> > >
> >> > --
> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >
> >> > --
> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >> >
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
> >
> > --
> > Diorges Rocha
> > Gerente de TI
> >
> > Tel.: (67) 3451-4035
> > Cel.: (67) 9938-1105
> >
> > R. Edson Bezerra, 685 - Centro
> > Itaporã - MS - Brasil
> > CEP 79890-000
> >
>
>
>
> --
> Diorges Rocha
> Gerente de TI
>
> Tel.: (67) 3451-4035
> Cel.: (67) 9938-1105
>
> R. Edson Bezerra, 685 - Centro
> Itaporã - MS - Brasil
> CEP 79890-000
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list