Se seu syslog está aberto para acesso de qualquer lugar, pode ser q o
ataque esteja sendo direcionado a ele, mas mesmo que ele não seja o alvo do
ataque não é bom deixar um serviço exposto desnecessariamente, ainda mais
udp. Se vc não precisa que ele seja acessível, faça um regra de firewall ou
insira no seu rc.conf a seguinte opção syslogd_flags=-ss para desabilitar
o socket.
Quais ferramentas vc está usando para verificar e monitorar esse ataque?
Abraço
2015-08-08 16:22 GMT-03:00 Fabiano Ribeiro
fabiano.ribe...@gerenciatec.com.br:
Fala Pessoal,
Estou tendo um ataque aqui de DDoS baseado em amplificação de DNS que a
princípio estava acontecendo no .1 do primeiro prefixo ipv4 /22 que tenho
do meu AS, até aí tudo bem joguei esse ip para blackhole, porém quando
parei o primeiro começou a acontecer também para o .1 do segundo prefixo
/22 que tenho do meu ASN.
Estou considerando que deve ser alguém que fez ataque para esses ips dos
meus prefixos, porém o curioso é que esses dois ips estão associados em
interfaces no freebsd de borda. Por isso pensei que poderia ser uma
resposta por estar exposto algum serviço que possa ser utilizado em ataque
de ddos.
$ sockstat -4 -l
USER COMMANDPID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
root sshd 1052 5 tcp4 *:2200*:*
root syslogd864 7 udp4 *:514 *:*
quagga bgpd 598 7 tcp4 *:179 *:*
quagga bgpd 598 8 tcp4 *:2605*:*
quagga ospfd 592 7 tcp4 *:2604*:*
quagga zebra 586 9 tcp4 *:2601*:*
Alguém sabe se algum serviço desses poderia ser utilizado em ataques ?
o syslogd esta padrão e o quagga está limitado o acesso no vty para somente
ips internos da rede.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd