Ataque em ntp elevando a banda e o processamento

[jackfukuta]

Boa tarde, faz uns 2 meses que ativei minha bgp em uma rb 1009 e comprei um /22, blz fiz a ativação perfeita navego normal, porem depois de 2 dias começo a receber ataque nesses clientes q estão com ip publico, ai tirei todos ips publicos dos clientes e coloquei ip privado, ai depois de 2 dias novamente começo a ter ataque de novo, mesmo sem usar os ips publicos, já coloquei regras para ver se para de ter esses ataques, já revisei a nossa rede toda e mesmo assim continua os problemas de ataque, ai minha operadora bloqueia os ips ai para, depois voçe coloca novamente os ips e continua o ataque depois de umas 12 horas que estiver usando, alguem já passo por esses problemas?
Obrigado.

[leosixers]

Passei por esse problema uma vez. Meu cenário era um pouco diferente, mas acredito que possa te ajudar.
Tinha um firewall na borda e um /29 de ips válidos para servidores de aplicações web em uma rede DMZ.

Um dos meus hosts estava com o NTP server ativo e o firewall da borda não estava filtrando a porta do NTP. COmecei a sofrer um ataque a ponto de não conseguir utilizar a minha banda mais. Mesmo parando o servidor NTP as requisições continuavam vindo sem parar matando o meu link.
Então fiz o bloqueio no firewall da borda e o link voltou ao normal. Eu conseguia ver que as tentativas de ataque continuavam, mas depois que passei a dropar esses pacotes o link ficou normal.
O problema é que o NTP utiliza UDP e além disso algumas versões possuem uma falha de segurança onde servidores da internet podem consultar uma lista dos últimos 300 hosts acessados pelo seu NTP e usar isso para aumentar a quantidade de hosts no ataque.
Depois que coloquei a regra de DROP o link normalizou, mas os ataques continuaram por mais uns 3 dias sem me afetar. Aos poucos foram parando.

Bloqueia no seu roteador que recebe o link da operadora e veja se a banda consumida volta ao normal pelo menos.

Abraços

[jackfukuta]

Intao já tenho 8 regras para bloquear udp e ntp porem não resolve 100%
Teria como voçe me enviar as regras que voce esta usando para eu testar aqui vê se normaliza, se poder agradeço demais.
Obrigado

[leosixers]

No meu caso, como o destino dos ataques era um dos hosts na DMZ eu dropava tudo o que entrava na interface wan do meu roteador na chain forward:


add action=drop chain=forward connection-state=new dst-port=123 in-interface=ether1 protocol=udp

[claudinhohw]

os meus não param processador e upload vai no talo.

[claudinhohw]

em 10Min 5GB de ataque e não para nem que a vaca tussa tá osso de barrar isso alguém tem uma sugestão?

[andrecarlim]

Você está sendo atacado? Veja que se você tem um firewall a única coisa que o firewall faz é impedir que os pacotes passem da Wan pra Lan... De qualquer modo eles vão chegar até a Wan. Ali você pode simplesmente descartar eles, mas teu link fica ocupado. Você pode pedir para teu provedor descartar lá na rede dentes esse ataque...

[claudinhohw]

Você está sendo atacado? Veja que se você tem um firewall a única coisa que o firewall faz é impedir que os pacotes passem da Wan pra Lan... De qualquer modo eles vão chegar até a Wan. Ali você pode simplesmente descartar eles, mas teu link fica ocupado. Você pode pedir para teu provedor descartar lá na rede dentes esse ataque...

ai que mora o problema eles não querem fazer é a embratel