[GTER] Ataque DDOS

Daniel Zanutti daniel.zanutti at gmail.com
Fri May 31 14:56:33 -03 2019


Boa tarde

Sofremos um ataque DDOS UDP em nossa rede hoje. O servidor recebeu um
enorme tráfego UDP em uma porta fixa 17225, com dezenas (ou centenas) de
IPs de origem diferente. Isso gerou um tráfego ICMP enorme do nosso
servidor respondendo ICMP UNREACHABLE.  Durante o ataque, a máquina estava
com 80% de perda de pacote.

Nós bloqueamos as respostas ICMP para desmotivar o atacante e reduzir o uso
de recursos. Depois bloqueamos junto ao provedor, para liberar somente as
portas UDP que usamos. Mas se o atacante enviasse para a porta correta,
nosso serviço iria responder com algo e nossa tentativa de parar o ataque
seria frustada.

O atacante desistiu de UDP e começou a atacar TCP porta 443 e derrubou
nosso web server. Este ataque nós não conseguimos bloquear e decidimos
desabilitar o serviço por um tempo, até que o atacante desista. Ele
desistiu depois de quase 1 hora mas se voltar a atacar, é provável que
consiga o DOS.

Como bloquear um ataque como este? Alguém com alguma experiencia poderia
dar algumas dicas?

Obrigado


More information about the gter mailing list