Se seu syslog está aberto para acesso de qualquer lugar, pode ser q o ataque esteja sendo direcionado a ele, mas mesmo que ele não seja o alvo do ataque não é bom deixar um serviço exposto desnecessariamente, ainda mais udp. Se vc não precisa que ele seja acessível, faça um regra de firewall ou insira no seu rc.conf a seguinte opção syslogd_flags="-ss" para desabilitar o socket.
Quais ferramentas vc está usando para verificar e monitorar esse ataque? Abraço 2015-08-08 16:22 GMT-03:00 Fabiano Ribeiro < fabiano.ribe...@gerenciatec.com.br>: > Fala Pessoal, > > Estou tendo um ataque aqui de DDoS baseado em amplificação de DNS que a > princípio estava acontecendo no .1 do primeiro prefixo ipv4 /22 que tenho > do meu AS, até aí tudo bem joguei esse ip para blackhole, porém quando > parei o primeiro começou a acontecer também para o .1 do segundo prefixo > /22 que tenho do meu ASN. > Estou considerando que deve ser alguém que fez ataque para esses ips dos > meus prefixos, porém o curioso é que esses dois ips estão associados em > interfaces no freebsd de borda. Por isso pensei que poderia ser uma > resposta por estar exposto algum serviço que possa ser utilizado em ataque > de ddos. > > $ sockstat -4 -l > USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS > root sshd 1052 5 tcp4 *:2200 *:* > root syslogd 864 7 udp4 *:514 *:* > quagga bgpd 598 7 tcp4 *:179 *:* > quagga bgpd 598 8 tcp4 *:2605 *:* > quagga ospfd 592 7 tcp4 *:2604 *:* > quagga zebra 586 9 tcp4 *:2601 *:* > > Alguém sabe se algum serviço desses poderia ser utilizado em ataques ? > o syslogd esta padrão e o quagga está limitado o acesso no vty para somente > ips internos da rede. > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd