Página 3 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. Então amigo aki tambem começou assim , mas ontem ficou uns 5minutos , ative que desativar minha porta wan deixar uns 2 minutos desativa e ativar de novo, pq não parava!seu link é fibra? Voce tem roteador se sim qual marca?

  2. Amigo tambem estou com esse problema.

    Tem um host internacional 199.48.62.162 cosumindo 500-600k de banda com tentativas nas porta 5060(udp), o filtro ja esta chegando a 47GB!!!!!
    Entrei em contato com a embratel e eles me inormaram que o bloqueio deve ser feito por mim, "A Embratel não faz filtros".


    Não seu o que fazer! Mudar de Operadora??



  3. Citação Postado originalmente por marcelhalls Ver Post
    Amigo tambem estou com esse problema.

    Tem um host internacional 199.48.62.162 cosumindo 500-600k de banda com tentativas nas porta 5060(udp), o filtro ja esta chegando a 47GB!!!!!
    Entrei em contato com a embratel e eles me inormaram que o bloqueio deve ser feito por mim, "A Embratel não faz filtros".


    Não seu o que fazer! Mudar de Operadora??
    Bom, passei por esse mesmo problema a uns dias atras, gerando um trafego intenso o dia todo, coisa de 10...20 mb de trafego sem parar, pesquisei , me mandaram fazer um filtro com tarpit, não funcionou, fiz um bloqueio da range de ips, no meu caso era ataque DDoS mesmo, ate que numa conversa com um amigo de uma Telecom que vende link dedicado com rádios de frequência fechada, me passou algumas dicas, consegui chegar a uma regra de firewall que resolveu meu problema, estou usando essa regra a alguns meses... vamos lá:

    /ip firewall filter
    add action=drop chain=forward comment="Bloqueio DDoS" disabled=no dst-port=161 protocol=udp

    Por favor, se lhe foi útil, poste os resultados e clique na estrelinha

  4. Sofri dias atras o mesmo ataque segue a img, um determinado IP me mando varias solicitações de UDP com isso congestionando meu link, fiz diversas regras e mesmo assim não bloqueava, liguei na ctbc onde pego o link, ( não possuo AS e nem BGP) e pedi para bloquear esse ip e estou esperando a resposta dele..

    Clique na imagem para uma versão maior

Nome:	         atque-under.jpg
Visualizações:	181
Tamanho: 	134,6 KB
ID:      	46593

    segue img abaixo varias conexões do mesmo ip da porta que ele esta atacando.

    Clique na imagem para uma versão maior

Nome:	         ataque2-under.jpg
Visualizações:	166
Tamanho: 	164,5 KB
ID:      	46594

    Segue abaixo uma das regras que fiz.
    Fiz regra de Reject e drop mesmo assim o ataque continuava.
    Fiz regra para bloquear conexão invalidas e nd.
    Fiz de tudo mesmo.

    Src-Address - Ip do atacante
    Dst-Address - Ip que esta recebendo o ataque, coloquei também meu bloco inteiro.
    Protocol - 17 UDP
    Src-Port - Porta que esta mandando o ataque.
    Dst-Port - coloquei todas as portas. pois são varias que ele atacava.
    In. Interface - Interface onde recebe o link da operado.
    Action - coloquei drop depois mudei para reject.


    Clique na imagem para uma versão maior

Nome:	         ataque-regra.jpg
Visualizações:	134
Tamanho: 	71,0 KB
ID:      	46595

    Podemos verificar img abaixo que mesmo assim consumia o link.
    Bloqueei UDP dele fiz de tudo, mesmo assim ele consumia meu link.
    Unica solução que achei cabível, ligar onde contratei o link e informa a eles se é possível fazer algo ou bloquear, esperei o telefonema de retorno e ainda nd e o ataque parou hoje.
    Alguém com experiencia tem alguma ipo tese no que posso fazer..

    Clique na imagem para uma versão maior

Nome:	         ataque-regra-2.jpg
Visualizações:	85
Tamanho: 	113,7 KB
ID:      	46596

    So para ficar melhor o intendimento, contratei 50mbs da CTBC e com isso fiz as devidas configurações na minha RB 1100 Ahx2.

    Ether 1 configurei o ip wan que eles deram / 30.
    Eles redirecionaram um /25 para mim de ips públicos e tive que fazer RIP em cima deles .
    Criei uma bridge coloquei o bloco / 25 em cima da bridge
    Percebi que o ataque ia para um ip do meu bloco /25 com isso desative esse bloco o ataque parou, problema que tenho serviços em cima desse bloco etcc..
    Ativava o bloco o ataque voltava.
    Outra informação, eu quebrei meu bloco em um / 30 para um serviço meu e com isso fico exemplo RB1100 Ahx2 187.x.x.1/30 e meu serviço 187.x.x.2 /30 e ele atacava minha rb no caso esse ip 187.x.x.1, eu fiz o seguinte desativei esse ip, mesmo desativado ele consegui chega em mim. Unica opção foi desativa o bloco inteira e o RIP ae o ataque parou e meus serviços também, pois dependo do ip publico.



  5. boa noite amigos, estou passando pelo mesmo problema de ataque, alguém pode me dar uma dica de como resolver....
    criei uma regra em filter rules - chain:forward - SRC Address: Bloco do IP do Ataque - Action: drop.
    A regra contabiliza, porem não elimina o ataque!
    Veja a imagem de um torch na interface.
    Clique na imagem para uma versão maior

Nome:	         tela ataque.jpg
Visualizações:	70
Tamanho: 	1,42 MB
ID:      	61620






Tópicos Similares

  1. ataques ntp>>>> UDP 123
    Por cls70072 no fórum Servidores de Rede
    Respostas: 3
    Último Post: 05-04-2017, 23:20
  2. ataques em UDP varias portas
    Por ederamboni no fórum Redes
    Respostas: 2
    Último Post: 30-09-2007, 22:29
  3. Respostas: 1
    Último Post: 02-08-2007, 13:15
  4. Portas UDP - Passíveis de ataque?
    Por juniovitorino no fórum Segurança
    Respostas: 2
    Último Post: 15-02-2007, 11:01
  5. Ataque por wordlist
    Por WhiteTiger no fórum Servidores de Rede
    Respostas: 13
    Último Post: 19-06-2005, 11:17

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L