[GTER] Detecção de DDOS na borda BGP / Ataque Global Frag

Paulo Henrique paulo.rddck at bsd.com.br
Tue Mar 22 17:19:33 -03 2016


Em 22 de março de 2016 16:01, Leonardo <leonardo.porto at iw.net.br> escreveu:

> Além das ferramentas já sugeridas existe também o iptraf/iptraf-ng
> presente nos repositórios do CentOS.
> É possível monitorar o tráfego de uma interface e ordenar as conexões por
> contagem de pacotes ou bytes.
>
>
>
>
> Em 22-03-2016 08:05, Rafael Sapata escreveu:
>
>> Bom dia Prezados,
>>
>> Tenho uma estrutura montada com BPG usando Quagga em um Linux Centos ,
>> acontece que estamos sofrendo ataques de DDoS e temos dificuldade em
>> identificar QUAL o IP que está sofrendo o ataque, para na sequencia
>> detectar a origem e realizar o bloqueio. O que consigo visualizar logo de
>> cara é a interface de 100MBPS com a operadora trafegando quase 400MBPS (nem
>> a operadora está conseguindo limitar nossa banda quando começa o ataque).
>> Indicam alguma ferramenta para identificar qual o IP que está sofrendo o
>> ataque direto no nosso BGP ? Não tenho condição operacional para implantar
>> o SNMP e todos os servidores e monitorar suas placas individualmente.
>>
>> Outro detalhe é que consegui identificar que a ORIGEM é da globalfrag.com
>> ( acessei o site e se diz hosting Lider em Mitigação DDoS)...
>>
>> Grato pela atenção de todos.
>>
>> Atenciosamente,
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
Pessoal,
Por favor não interprete como "arrogância de minha parte", mas, um
profissional responsável por um servidor  BGP implementado em Quagga no
Linux não saber e nem ter curiosidade própria de realizar uma pesquisa para
compreender como se obtém uma informação que considero trivial que em
qualquer documentação simples de configuração de rede no linux é
apresentada no minimo é bem preocupante.

Minha única recomendação é não mecha, procura a consultoria prestada por
vários profissionais que tem aqui na lista para resolver para você, a
chance de fazer m**** no seu BGP e inadvertidamente bugar a tabela não de
todos mais de ASN que não tem os filtro corretos é muito grande além de
evitar mais dores de cabeça para você próprio no futuro bem proximo.

DoS quando não ultrapassa a banda necessária do provedor operar ou exaure
os recursos de processamento do roteador uma simples regra de firewall
stateless dando reset por IP/bloco CIDR de origem já é o suficiente como
medida paliativa até a solução definitiva que é através de contato com o
administrador do ASN de origem.
DDoS raramente será possivel tratar sem que recorra a blackrole ou a um IR
e o bloqueio não é direcionado aos IPs/Blocos de origem mais sim ao seu
IP/Bloco
A diferença é que na primeira o maledito é que sofre sansão, o segundo é
você que fica penalizado até o infeliz descidir parar com o DDoS, o que
pode e normalmente leva dias ( casos como o do protonmail no inicio do ano
é comum, só não destinado a serviços de grande abrangencia ).

Att.


-- 
:UNI><BSD:
Paulo Henrique.
Fone: (21) 37089388.



More information about the gter mailing list