[GTER] Ataque DDOS

Andre Almeida andre at bnet.com.br
Fri May 31 15:33:46 -03 2019


Eu penso assim:
ou contrata um clean pipe, ou então...
Cria vários servidores redundantes, com varias entradas na tabela DNS

De forma que se um IP cair, você ainda tenha redundância do serviço.
Aplica o IP de destino em blackhole.

Ou, se usar somente um servidor, abaixa o TTL da entrada DNS e usa script
de detecção do ataque para alterar o IP do servidor na tabela autoritativa.
Você vai ficar algum tempo fora sim, mas seria até que se estoure o TTL dos
caches.

Mas....
Não sei.

Bom tópico inclusive, posso estar falando de uma solução demasiadamente
radical...
Quem sabe alguém tem mais alguma ideia.


Em sex, 31 de mai de 2019 às 15:00, Daniel Zanutti <daniel.zanutti at gmail.com>
escreveu:

> Boa tarde
>
> Sofremos um ataque DDOS UDP em nossa rede hoje. O servidor recebeu um
> enorme tráfego UDP em uma porta fixa 17225, com dezenas (ou centenas) de
> IPs de origem diferente. Isso gerou um tráfego ICMP enorme do nosso
> servidor respondendo ICMP UNREACHABLE.  Durante o ataque, a máquina estava
> com 80% de perda de pacote.
>
> Nós bloqueamos as respostas ICMP para desmotivar o atacante e reduzir o uso
> de recursos. Depois bloqueamos junto ao provedor, para liberar somente as
> portas UDP que usamos. Mas se o atacante enviasse para a porta correta,
> nosso serviço iria responder com algo e nossa tentativa de parar o ataque
> seria frustada.
>
> O atacante desistiu de UDP e começou a atacar TCP porta 443 e derrubou
> nosso web server. Este ataque nós não conseguimos bloquear e decidimos
> desabilitar o serviço por um tempo, até que o atacante desista. Ele
> desistiu depois de quase 1 hora mas se voltar a atacar, é provável que
> consiga o DOS.
>
> Como bloquear um ataque como este? Alguém com alguma experiencia poderia
> dar algumas dicas?
>
> Obrigado
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


More information about the gter mailing list