[GTER] Incidente (possível) Layer2 em circuito de operadora sendo atacado
Raphael Pontara
pontara at outlook.com
Sat May 26 15:00:07 -03 2018
Olá a todos,
Estou envolvido na tentativa de resolução de um incidente com o circuito IP de um cliente Oi.
Inicialmente, o incidente estava sendo tratado como um possível ataque DDoS, mas após alguns procedimentos de troubleshooting, foi verificado que o circuito também recebia tráfego que não era direcionado nem ao /30 de enlace com a Oi nem ao AS.
Inclusive, não é possível sequer estabelecer uma conexão com uma mitigadora de ataques, já que o incidente compromete o Layer 2 do circuito.
Em resumo, o equipamento fica com a WAN saturada, mesmo sem haver fluxo (todas as interfaces do equipamento estão desativadas, com exceção da interface ligada à operadora), conforme a imagem neste link https://ibb.co/ghxxmT
O incidente perdura por 22 dias consecutivos e contém as seguintes características:
1 - Ocorrência apenas no período entre 7:00 e 23:00 (UTC-4:00);
2 - Atividade: tempo exato em horas, ocorrendo por uma ou três horas consecutivas, com intervalos de uma hora quando o incidente ocorre por três horas e o contrário quando o incidente ocorre por uma hora. Também há a ocorrência em horas alternadas (hora sim, hora não);
3 - Frequência de atividade: 4 à 8 vezes por dia;
4 - Procolos: TCP, UDP, ICMP;
5 - Portas: Predominância de portas com dígitos repetidos como 5555, 6666, 7777, 8888, 6688, 1122, etc;
6 - Foram capturados pacotes com destino ao nosso enlace e ao AS, mas também para outros destinos na porta 6 UDP e TCP;
7 -Sintoma: Tráfego no sentido de download da interface física, no valor máximo admitido pela interface;
7 - Tráfego com destino a outros IPs que não são do /30 do BGP nem dos IPs do AS;
Características do cenário:
1 - Equipamento: MikroTik CCR1036-12G-4S (RouterOs 6.40.8 BugFix - Firmware 3.41)
2 - Gbic: HG Genuine MXPD-243S
3 - Portas do equipamento testadas: sfp1 a sfp4
4 - Segundo equipamento utilizado no TS: MikroTik CCR1036-12G-4S (RouterOs 6.42.1 Current - Firmware 6.42.1)
Explanação sobre o fato:
- Foi percebido tráfego em máxima capacidade da interface e para tentar cessar o tráfego, a vlan entre o ISP e a Operadora foi desativada.
Porém, o tráfego não cessava.
- Foram desativadas as demais interfaces que estavam ativas no equipamento, com exceção das interfaces físicas onde chegava o link, bem como a interface de gerência, a qual estava diretamente conectada a um computador. porém, o tráfego também não cessava.
- Foram desativados IPs, rotas e quaisquer outras configurações que pudessem propiciar o fluxo na interface. O tráfego permaneceu saturado.
- Foi realizada a troca da Gbic, o que também não surtiu efeito.
- A fibra foi colocada em um novo equipamento (retirado da caixa), sem qualquer configuração prévia (default configuration) e o mesmo sintoma ocorria.
- Durante a captura de pacotes, percebeu-se que o tráfego era proveniente do MAC ADDRESS do equipamento da operadora (fora do site) e o destino não era broadcast;
Algum de vocês já teve alguma experiência neste sentido ou sabe o que pode estar ocorrendo?
Atenciosamente,
Raphael Monteiro - MontNet
+5527992525555
More information about the gter
mailing list