[GTER] Ataque DDOS
Rubens Kuhl
rubensk at gmail.com
Fri May 31 19:01:55 -03 2019
On Fri, May 31, 2019 at 3:00 PM Daniel Zanutti <daniel.zanutti at gmail.com>
wrote:
> Boa tarde
>
> Sofremos um ataque DDOS UDP em nossa rede hoje. O servidor recebeu um
> enorme tráfego UDP em uma porta fixa 17225, com dezenas (ou centenas) de
> IPs de origem diferente. Isso gerou um tráfego ICMP enorme do nosso
> servidor respondendo ICMP UNREACHABLE. Durante o ataque, a máquina estava
> com 80% de perda de pacote.
>
Enorme tipo o Trump falando huuuuuge ?
Não gere pacotes ICMP Unreachable para serviços que você não tem ou não
expõe para a Internet. Silent drop sem log é a melhor opção em termos de
performance.
> Nós bloqueamos as respostas ICMP para desmotivar o atacante e reduzir o uso
> de recursos. Depois bloqueamos junto ao provedor, para liberar somente as
> portas UDP que usamos. Mas se o atacante enviasse para a porta correta,
> nosso serviço iria responder com algo e nossa tentativa de parar o ataque
> seria frustada.
>
Existe um serviço UDP que é inevitável usar que é DNS. Realmente não dá
para se basear nisso.
> O atacante desistiu de UDP e começou a atacar TCP porta 443 e derrubou
> nosso web server. Este ataque nós não conseguimos bloquear e decidimos
> desabilitar o serviço por um tempo, até que o atacante desista. Ele
> desistiu depois de quase 1 hora mas se voltar a atacar, é provável que
> consiga o DOS.
>
Há diversos níveis que podem ter saturado; se foi no stack TCP, SYN Cookies
ajuda bem. SYN Cookies tem limitações, e este artigo
https://kognitio.com/blog/syn-cookies-ate-my-dog-breaking-tcp-on-linux/ os
descreve, mas já é um bom começo.
Se a questão é performance do Web server, uma solução local é algo como
mod-security ; mas um ataque pode superar a sua capacidade de mitigação
local, e aí soluções distribuídas como Cloudflare e demais "cloud-based
WAFs" costumam resolver.
Um problema é que os atacantes já sabem seus IPs, pois o mais interessante
seria colocar o MX num serviço "cloud" (G Suite, SPFBL etc.), os sites
atrás de Web-Proxy como Cloudflare e em momento nenhum estar publicado em
nenhum lugar quais são os IPs que você usa.
Rubens
>
>
More information about the gter
mailing list