[GTER] Detecção de DDOS na borda BGP / Ataque Global Frag

Alex Jorge lex at bsd.com.br
Tue Mar 22 15:06:52 -03 2016


Um Snort ou Suricata + Rules (Emerging Threats) já resolveria pra
contabilizar trafego com origem, destino e intensidade. Pra deixar mais
"bonito", só exportar pra um BASE da vida.

Ainda é possível colocar alguma rule mais personalizada pra contar trafego
"incomum", por tempo, duração etc.

Atcs,

Alex
SysAdmin

Em 22 de março de 2016 11:39, Diego Canton de Brito <
diegocanton at ensite.com.br> escreveu:

>
> Acredito que o Quagga suporte Netflow, caso suporte tente implementar um
> FastNetMon para fazer o BH automaticamente e um NfSen ou nTop para análise
> posterior.
> --
> Enviado do aplicativo myMail para Android terça-feira, 22 março 2016,
> 08:05AM -03:00 de Rafael Sapata < rafael at grupouds.com.br> :
>
> >Bom dia Prezados,
> >
> >Tenho uma estrutura montada com BPG usando Quagga em um Linux Centos ,
> acontece que estamos sofrendo ataques de DDoS e temos dificuldade em
> identificar QUAL o IP que está sofrendo o ataque, para na sequencia
> detectar a origem e realizar o bloqueio. O que consigo visualizar logo de
> cara é a interface de 100MBPS com a operadora trafegando quase 400MBPS (nem
> a operadora está conseguindo limitar nossa banda quando começa o ataque).
> Indicam alguma ferramenta para identificar qual o IP que está sofrendo o
> ataque direto no nosso BGP ? Não tenho condição operacional para implantar
> o SNMP e todos os servidores e monitorar suas placas individualmente.
> >
> >Outro detalhe é que consegui identificar que a ORIGEM é da globalfrag.com
> ( acessei o site e se diz hosting Lider em Mitigação DDoS)...
> >
> >Grato pela atenção de todos.
> >
> >Atenciosamente,
> >
> >--
> >gter list  https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Alex Jorge



More information about the gter mailing list