[GTER] Incidente (possível) Layer2 em circuito de operadora sendo atacado

Raphael Pontara pontara at outlook.com
Sat May 26 15:00:07 -03 2018


Olá a todos,


Estou envolvido na tentativa de resolução de um incidente com o circuito IP de um cliente Oi.


Inicialmente, o incidente estava sendo tratado como um possível ataque DDoS, mas após alguns procedimentos de troubleshooting, foi verificado que o circuito também recebia tráfego que não era direcionado nem ao /30 de enlace com a Oi nem ao AS.

Inclusive, não é possível sequer estabelecer uma conexão com uma mitigadora de ataques, já que o incidente compromete o Layer 2 do circuito.


Em resumo, o equipamento fica com a WAN saturada, mesmo sem haver fluxo (todas as interfaces do equipamento estão desativadas, com exceção da interface ligada à operadora), conforme a imagem neste link https://ibb.co/ghxxmT



O incidente perdura por 22 dias consecutivos e contém as seguintes características:


1 - Ocorrência apenas no período entre 7:00 e 23:00 (UTC-4:00);

2 - Atividade: tempo exato em horas, ocorrendo por uma ou três horas consecutivas, com intervalos de uma hora quando o incidente ocorre por três horas e o contrário quando o incidente ocorre por uma hora. Também há a ocorrência em horas alternadas (hora sim, hora não);

3 - Frequência de atividade:  4 à 8 vezes por dia;

4 - Procolos: TCP, UDP, ICMP;
5 - Portas: Predominância de portas com dígitos repetidos como 5555, 6666, 7777, 8888, 6688, 1122, etc;
6 - Foram capturados pacotes com destino ao nosso enlace e ao AS, mas também para outros destinos na porta 6 UDP e TCP;
7 -Sintoma: Tráfego no sentido de download da interface física, no valor máximo admitido pela interface;
7 - Tráfego com destino a outros IPs que não são do /30 do BGP nem dos IPs do AS;

Características do cenário:

1 - Equipamento: MikroTik CCR1036-12G-4S (RouterOs 6.40.8 BugFix - Firmware 3.41)
2 - Gbic: HG Genuine MXPD-243S
3 - Portas do equipamento testadas: sfp1 a sfp4
4 - Segundo equipamento utilizado no TS: MikroTik CCR1036-12G-4S (RouterOs 6.42.1 Current - Firmware 6.42.1)

Explanação sobre o fato:

- Foi percebido  tráfego em máxima capacidade da interface e para tentar cessar o tráfego, a vlan entre o ISP e a Operadora foi desativada.
Porém, o tráfego não cessava.

- Foram desativadas as demais interfaces que estavam ativas no equipamento, com exceção das interfaces físicas onde chegava o link, bem como a interface de gerência, a qual estava diretamente conectada a um computador. porém, o tráfego também não cessava.

- Foram desativados IPs, rotas e quaisquer outras configurações que pudessem propiciar o fluxo na interface. O tráfego permaneceu saturado.

- Foi realizada a troca da Gbic, o que também não surtiu efeito.

- A fibra foi colocada em um novo equipamento (retirado da caixa), sem qualquer configuração prévia (default configuration) e o mesmo sintoma ocorria.

- Durante a captura de pacotes, percebeu-se que o tráfego era proveniente do MAC ADDRESS do equipamento da operadora (fora do site) e o destino não era broadcast;


Algum de vocês já teve alguma experiência neste sentido ou sabe o que pode estar ocorrendo?


Atenciosamente,
Raphael Monteiro - MontNet
+5527992525555



More information about the gter mailing list