[GTER] Detecção de DDOS na borda BGP / Ataque Global Frag

Douglas Fischer fischerdouglas at gmail.com
Tue Mar 22 10:01:29 -03 2016


Ferramenta?
Wireshark! TCP-Dump! E seus derivados...
Gera uma amostra de uns 5 minutos, leva o arqui para para o Wireshark em
GUI e começa adebulhar a análise.



DDoS? Bom, aí vem uma questão de conceito...
Se sabe que é da globalfrag, já não é "D"Dos, é um DoS.
(Cabe um pouco de retórica, mas o fato é que conseguiu definir uma origem).

Passo 1, contatar o ABUSE do próprio atacante.
Passo 2, contatar o ABUSE do(s) ISP(s) do atacante.



Em 22 de março de 2016 08:05, Rafael Sapata <rafael at grupouds.com.br>
escreveu:

> Bom dia Prezados,
>
> Tenho uma estrutura montada com BPG usando Quagga em um Linux Centos ,
> acontece que estamos sofrendo ataques de DDoS e temos dificuldade em
> identificar QUAL o IP que está sofrendo o ataque, para na sequencia
> detectar a origem e realizar o bloqueio. O que consigo visualizar logo de
> cara é a interface de 100MBPS com a operadora trafegando quase 400MBPS (nem
> a operadora está conseguindo limitar nossa banda quando começa o ataque).
> Indicam alguma ferramenta para identificar qual o IP que está sofrendo o
> ataque direto no nosso BGP ? Não tenho condição operacional para implantar
> o SNMP e todos os servidores e monitorar suas placas individualmente.
>
> Outro detalhe é que consegui identificar que a ORIGEM é da globalfrag.com
> ( acessei o site e se diz hosting Lider em Mitigação DDoS)...
>
> Grato pela atenção de todos.
>
> Atenciosamente,
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list