[GTER] Incidente (possível) Layer2 em circuito de operadora sendo atacado

Fábio Fioresi Paqueli fabio.fioresi at voxbras.com.br
Sun May 27 11:35:38 -03 2018 

Já vi isso acontecer em um switch cisco com porta elétrica, do nada ele
começava a "replicar" o trafego de uma porta para todas do switch, e
dependendo do trafego saturava todas as portas.
Esta parecendo algo semelhante. Reiniciando o equipamento resolveu o
problema.

*Fábio Fioresi Paqueli *
......................................................
NOC - Voxbras
(28) 3310-3307
(28) 99969-9045

2018-05-26 23:42 GMT-03:00 savio.marques <
savio.marques at sustentatelecom.com.br>:

> Seria possível enviar a imagem do touch?
>
>
> Enviado do meu smartphone Samsung Galaxy.
> -------- Mensagem original --------De: Raphael Pontara <
> pontara at outlook.com> Data: 26/05/18  14:00  (GMT-04:00) Para:
> gter at eng.registro.br Cc: ld-numeracaoip at oi.net.br, ouvidoria at anatel.gov.br,
> abuse at oi.net.br Assunto: [GTER] Incidente (possível) Layer2 em circuito
> de operadora sendo atacado
> Olá a todos,
>
>
> Estou envolvido na tentativa de resolução de um incidente com o circuito
> IP de um cliente Oi.
>
>
> Inicialmente, o incidente estava sendo tratado como um possível ataque
> DDoS, mas após alguns procedimentos de troubleshooting, foi verificado que
> o circuito também recebia tráfego que não era direcionado nem ao /30 de
> enlace com a Oi nem ao AS.
>
> Inclusive, não é possível sequer estabelecer uma conexão com uma
> mitigadora de ataques, já que o incidente compromete o Layer 2 do circuito.
>
>
> Em resumo, o equipamento fica com a WAN saturada, mesmo sem haver fluxo
> (todas as interfaces do equipamento estão desativadas, com exceção da
> interface ligada à operadora), conforme a imagem neste link
> https://ibb.co/ghxxmT
>
>
>
> O incidente perdura por 22 dias consecutivos e contém as seguintes
> características:
>
>
> 1 - Ocorrência apenas no período entre 7:00 e 23:00 (UTC-4:00);
>
> 2 - Atividade: tempo exato em horas, ocorrendo por uma ou três horas
> consecutivas, com intervalos de uma hora quando o incidente ocorre por três
> horas e o contrário quando o incidente ocorre por uma hora. Também há a
> ocorrência em horas alternadas (hora sim, hora não);
>
> 3 - Frequência de atividade:  4 à 8 vezes por dia;
>
> 4 - Procolos: TCP, UDP, ICMP;
> 5 - Portas: Predominância de portas com dígitos repetidos como 5555, 6666,
> 7777, 8888, 6688, 1122, etc;
> 6 - Foram capturados pacotes com destino ao nosso enlace e ao AS, mas
> também para outros destinos na porta 6 UDP e TCP;
> 7 -Sintoma: Tráfego no sentido de download da interface física, no valor
> máximo admitido pela interface;
> 7 - Tráfego com destino a outros IPs que não são do /30 do BGP nem dos IPs
> do AS;
>
> Características do cenário:
>
> 1 - Equipamento: MikroTik CCR1036-12G-4S (RouterOs 6.40.8 BugFix -
> Firmware 3.41)
> 2 - Gbic: HG Genuine MXPD-243S
> 3 - Portas do equipamento testadas: sfp1 a sfp4
> 4 - Segundo equipamento utilizado no TS: MikroTik CCR1036-12G-4S (RouterOs
> 6.42.1 Current - Firmware 6.42.1)
>
> Explanação sobre o fato:
>
> - Foi percebido  tráfego em máxima capacidade da interface e para tentar
> cessar o tráfego, a vlan entre o ISP e a Operadora foi desativada.
> Porém, o tráfego não cessava.
>
> - Foram desativadas as demais interfaces que estavam ativas no
> equipamento, com exceção das interfaces físicas onde chegava o link, bem
> como a interface de gerência, a qual estava diretamente conectada a um
> computador. porém, o tráfego também não cessava.
>
> - Foram desativados IPs, rotas e quaisquer outras configurações que
> pudessem propiciar o fluxo na interface. O tráfego permaneceu saturado.
>
> - Foi realizada a troca da Gbic, o que também não surtiu efeito.
>
> - A fibra foi colocada em um novo equipamento (retirado da caixa), sem
> qualquer configuração prévia (default configuration) e o mesmo sintoma
> ocorria.
>
> - Durante a captura de pacotes, percebeu-se que o tráfego era proveniente
> do MAC ADDRESS do equipamento da operadora (fora do site) e o destino não
> era broadcast;
>
>
> Algum de vocês já teve alguma experiência neste sentido ou sabe o que pode
> estar ocorrendo?
>
>
> Atenciosamente,
> Raphael Monteiro - MontNet
> +5527992525555
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list