Re: [FUG-BR] Ataque DDoS - Serviços expostos
Se seu syslog está aberto para acesso de qualquer lugar, pode ser q o ataque esteja sendo direcionado a ele, mas mesmo que ele não seja o alvo do ataque não é bom deixar um serviço exposto desnecessariamente, ainda mais udp. Se vc não precisa que ele seja acessível, faça um regra de firewall ou insira no seu rc.conf a seguinte opção syslogd_flags=-ss para desabilitar o socket. Quais ferramentas vc está usando para verificar e monitorar esse ataque? Abraço 2015-08-08 16:22 GMT-03:00 Fabiano Ribeiro fabiano.ribe...@gerenciatec.com.br: Fala Pessoal, Estou tendo um ataque aqui de DDoS baseado em amplificação de DNS que a princípio estava acontecendo no .1 do primeiro prefixo ipv4 /22 que tenho do meu AS, até aí tudo bem joguei esse ip para blackhole, porém quando parei o primeiro começou a acontecer também para o .1 do segundo prefixo /22 que tenho do meu ASN. Estou considerando que deve ser alguém que fez ataque para esses ips dos meus prefixos, porém o curioso é que esses dois ips estão associados em interfaces no freebsd de borda. Por isso pensei que poderia ser uma resposta por estar exposto algum serviço que possa ser utilizado em ataque de ddos. $ sockstat -4 -l USER COMMANDPID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS root sshd 1052 5 tcp4 *:2200*:* root syslogd864 7 udp4 *:514 *:* quagga bgpd 598 7 tcp4 *:179 *:* quagga bgpd 598 8 tcp4 *:2605*:* quagga ospfd 592 7 tcp4 *:2604*:* quagga zebra 586 9 tcp4 *:2601*:* Alguém sabe se algum serviço desses poderia ser utilizado em ataques ? o syslogd esta padrão e o quagga está limitado o acesso no vty para somente ips internos da rede. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Ataque DDoS - Serviços expostos
Fala Pessoal, Estou tendo um ataque aqui de DDoS baseado em amplificação de DNS que a princípio estava acontecendo no .1 do primeiro prefixo ipv4 /22 que tenho do meu AS, até aí tudo bem joguei esse ip para blackhole, porém quando parei o primeiro começou a acontecer também para o .1 do segundo prefixo /22 que tenho do meu ASN. Estou considerando que deve ser alguém que fez ataque para esses ips dos meus prefixos, porém o curioso é que esses dois ips estão associados em interfaces no freebsd de borda. Por isso pensei que poderia ser uma resposta por estar exposto algum serviço que possa ser utilizado em ataque de ddos. $ sockstat -4 -l USER COMMANDPID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS root sshd 1052 5 tcp4 *:2200*:* root syslogd864 7 udp4 *:514 *:* quagga bgpd 598 7 tcp4 *:179 *:* quagga bgpd 598 8 tcp4 *:2605*:* quagga ospfd 592 7 tcp4 *:2604*:* quagga zebra 586 9 tcp4 *:2601*:* Alguém sabe se algum serviço desses poderia ser utilizado em ataques ? o syslogd esta padrão e o quagga está limitado o acesso no vty para somente ips internos da rede. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ataque DDoS
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 andre silva wrote: | Ola a todos!!! | | Estou sofrendo ataque de negacao em dois servidores, para minimizar a situacao foi ligar pra operada pra pedi bloqueio UDP. Alguem tem outra alternativa? Já me dei mal com isso também. Na época, falei com o distribuidor do link (que é via Embratel) e eles fizeram um filtro por lá. O ataque parou, mas fiquei sem acessar vários hosts no exterior, eles filtraram demais. Então contactei eles novamente e refizeram o filtro direito. - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFH4MvxXL+vuN2d7ZwRAqSPAKCvk8TwW8oVc0OqK+WUtsU9B0QhuwCgiVv7 5wuhLyiK32Q2plahKEYrIUQ= =/0Oe -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ataque DDoS
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Douglas wrote: | Aqui na lista já foi discutido em | | http://www.fug.com.br/historico/html/freebsd/2007-09/msg00225.html Rapaz, que situação! :P - -- João Paulo Just Diretor Executivo - Justsoft Informática Ltda. http://www.justsoft.com.br/ - -- Feira de Santana, BA, Brasil. +55 75 8104 8473 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFH4ODgXL+vuN2d7ZwRAqZnAKCHtRRgG/GmdwWq2Omi75/ce/hE6ACfRgRf yh7bRgKG3Uiur/jWc29vwuY= =hQXE -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] Ataque DDoS
Ola a todos!!! Estou sofrendo ataque de negacao em dois servidores, para minimizar a situacao foi ligar pra operada pra pedi bloqueio UDP. Alguem tem outra alternativa? _ Cansado de espaço para só 50 fotos? Conheça o Spaces, o site de relacionamentos com até 6,000 fotos! http://www.amigosdomessenger.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ataque DDoS
se não me engano no histórico da lista tem falando sobre isso.. dar uma pesquisada.. 2008/3/19, andre silva [EMAIL PROTECTED]: Ola a todos!!! Estou sofrendo ataque de negacao em dois servidores, para minimizar a situacao foi ligar pra operada pra pedi bloqueio UDP. Alguem tem outra alternativa? _ Cansado de espaço para só 50 fotos? Conheça o Spaces, o site de relacionamentos com até 6,000 fotos! http://www.amigosdomessenger.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ataque DDoS
Em Wed, 19 Mar 2008 06:03:18 +0300 andre silva [EMAIL PROTECTED] escreveu: Ola a todos!!! Estou sofrendo ataque de negacao em dois servidores, para minimizar a situacao foi ligar pra operada pra pedi bloqueio UDP. Alguem tem outra alternativa? _ Cansado de espaço para só 50 fotos? Conheça o Spaces, o site de relacionamentos com até 6,000 fotos! http://www.amigosdomessenger.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Olá André, Acredito que não possa fazer nada para bloqueio efetivo, porém, esta medida que você tomou, pode acarretar mais problemas. Se um desses servidores responde por requisições DNS, você já deixou seus domínios inacessíveis pelo nome externamente. -- Felippe de Meirelles Motta signature.asc Description: PGP signature - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ataque DDoS
Perfeitamente Felippe um dos servers é DNS, ainda bem q tenho outros o ruim é ficar com o link parado e esperar ate q os carinhas sintam sono ou arrume uma linda mulher..rs.r.srs. Cristiane ja li o hitorico e um pouco mais, mesmo assim valeu. Date: Wed, 19 Mar 2008 00:11:04 -0300 From: [EMAIL PROTECTED] To: freebsd@fug.com.br Subject: Re: [FUG-BR] Ataque DDoS Em Wed, 19 Mar 2008 06:03:18 +0300 andre silva [EMAIL PROTECTED] escreveu: Ola a todos!!!Estou sofrendo ataque de negacao em dois servidores, para minimizar a situacao foi ligar pra operada pra pedi bloqueio UDP. Alguem tem outra alternativa? _ Cansado de espaço para só 50 fotos? Conheça o Spaces, o site de relacionamentos com até 6,000 fotos! http://www.amigosdomessenger.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Olá André, Acredito que não possa fazer nada para bloqueio efetivo, porém, esta medida que você tomou, pode acarretar mais problemas. Se um desses servidores responde por requisições DNS, você já deixou seus domínios inacessíveis pelo nome externamente. -- Felippe de Meirelles Motta _ Cansado de espaço para só 50 fotos? Conheça o Spaces, o site de relacionamentos com até 6,000 fotos! http://www.amigosdomessenger.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Ataque DDoS
- Original Message - From: andre silva [EMAIL PROTECTED] To: Fug freebsd@fug.com.br Sent: Wednesday, March 19, 2008 12:03 AM Subject: [FUG-BR] Ataque DDoS Ola a todos!!! Estou sofrendo ataque de negacao em dois servidores, para minimizar a situacao foi ligar pra operada pra pedi bloqueio UDP. Alguem tem outra alternativa? _ Rezar e esperar. Wesley Miranda FreeBSD Consult LTDA DTI - Departamento de Tecnologia da Informação Telefone - (0xx31) 3332-6972 (0xx31) 9356-1828 www.freebsdconsult.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd