+ Responder ao Tópico



  1. #1

    Padrão Ataque por udp

    Boa Tarde amigos , tenho uma rb que uso ela como roteador para meu link de fibra otica de uns dias para ká o ip 64.90.52.150 começa a gerar um trafego por udp em varias portas alta e com isso consome todo meu link , ja tentei varias regras de drop mas em nenhuma consegui sucesso, estou anexando uma imagem de um tourch que dei na hora do ataque . se alguem tiver alguma ideia de como posso solucionar Obrigado..
    Clique na imagem para uma versão maior

Nome:	         imagem jpeg.jpg
Visualizações:	809
Tamanho: 	90,7 KB
ID:      	33272

  2. #2
    tecnico chefe Avatar de naldo864
    Ingresso
    May 2010
    Localização
    Carapicuíba, Brazil, Brazil
    Posts
    3.131
    Posts de Blog
    1

    Padrão Re: Ataque por udp

    eu não posso te ajudar por que não entendo muito disto mas puxei a capivara do ip :
    IP: 64.90.52.150
    Decimal: 1079653526
    Hostname: saiph.dreamhost.com
    ISP: New Dream Network, LLC
    Organization: New Dream Network, LLC
    Services: None detected
    Type: Corporate
    Assignment: Static IP


    Geolocation Information


    Country: United States
    State/Region: California
    City: Brea
    Latitude: 33.9269
    Longitude: -117.8612
    Area Code: 714
    Postal Code: 92821

  3. #3

    Padrão Re: Ataque por udp

    faz um regra em ip firewall e bloqueia pacotes de entrada e saida para esse ip ou a 64.90.52.0/24
    Não vai resolver seu problema , mas vai parar de consumir todo o seu link, até achar uma outra solução

  4. #4

    Padrão Re: Ataque por udp

    Citação Postado originalmente por Link Informatica Ver Post
    Boa Tarde amigos , tenho uma rb que uso ela como roteador para meu link de fibra otica de uns dias para ká o ip 64.90.52.150 começa a gerar um trafego por udp em varias portas alta e com isso consome todo meu link , ja tentei varias regras de drop mas em nenhuma consegui sucesso, estou anexando uma imagem de um tourch que dei na hora do ataque . se alguem tiver alguma ideia de como posso solucionar Obrigado..
    Clique na imagem para uma versão maior

Nome:	         imagem jpeg.jpg
Visualizações:	809
Tamanho: 	90,7 KB
ID:      	33272
    neste momento estou passando por um ataque de mais de 2gb/s desde ontem 5 hrs da tarde

    caso vc seja bgp basta que anuncie o ip atacado para community :666

    caso não seja bgp peça para que sua operadora faça o bloqueio pois vc bloqueando as requisições vão chegar até seu mikrotik consumindo seu link mesmo assim claro que da uma amenizada mais não resolve pela operadora eles dao um jeito

  5. #5

    Padrão Re: Ataque por udp

    acabo de ver q seu link é da ctbc e não bgp intao ligue na ctbc ela faz o bloqueio em menos de meia hora

  6. #6
    Analista de Suporte em TI Avatar de demattos
    Ingresso
    Jul 2011
    Localização
    Criciuma/SC
    Posts
    1.923
    Posts de Blog
    3

    Padrão Re: Ataque por udp

    Eu ja tive um problema parecido com o seu e o problema era dentro da minha rede, um virus danado que ferrava minha rede consumindo todo meu trafico de upload parando a rede, eu resolvi com firewall mas como vc sitou ja fez e nao adiantou vou dar uma pesquizada aqui para ver se contribuo com algo para vc

  7. #7

    Padrão Re: Ataque por udp

    Bom dia amigo, agradeço a atenção de todos ja tentei varios firewall e nada resolve acho que a solução vai ser a ctbc bloquear esse ip. mandei um e-mail para a minha gestora e pedi , agora esperar resposta Obrigado,

  8. #8

    Padrão Re: Ataque por udp

    Cara tbm estou com o mesmo problema e para o mesmo IP: 64.90.52.150. Ja tentamos bloquear no MK e nada...

  9. #9

    Padrão Re: Ataque por udp

    opa amigo .quando vc tem esse ataque ele consome todo seu link tb? tentei varios tipo de regras ...mas nada de resolver....estou no aguardo da ctbc para ver se bloqueia esse ip para não chegar mais no meu link.....Obrigado

  10. #10

    Padrão Re: Ataque por udp

    Exato, consome todo o link. Agora são de curta duração, passa de 10 a 30s e depois para, mas faz isso várias vezes no dia.

  11. #11

    Padrão Re: Ataque por udp

    Então amigo aki tambem começou assim , mas ontem ficou uns 5minutos , ative que desativar minha porta wan deixar uns 2 minutos desativa e ativar de novo, pq não parava!seu link é fibra? Voce tem roteador se sim qual marca?

  12. #12

    Padrão Re: Ataque por udp

    Amigo tambem estou com esse problema.

    Tem um host internacional 199.48.62.162 cosumindo 500-600k de banda com tentativas nas porta 5060(udp), o filtro ja esta chegando a 47GB!!!!!
    Entrei em contato com a embratel e eles me inormaram que o bloqueio deve ser feito por mim, "A Embratel não faz filtros".


    Não seu o que fazer! Mudar de Operadora??

  13. #13

    Padrão Re: Ataque por udp

    Citação Postado originalmente por marcelhalls Ver Post
    Amigo tambem estou com esse problema.

    Tem um host internacional 199.48.62.162 cosumindo 500-600k de banda com tentativas nas porta 5060(udp), o filtro ja esta chegando a 47GB!!!!!
    Entrei em contato com a embratel e eles me inormaram que o bloqueio deve ser feito por mim, "A Embratel não faz filtros".


    Não seu o que fazer! Mudar de Operadora??
    Bom, passei por esse mesmo problema a uns dias atras, gerando um trafego intenso o dia todo, coisa de 10...20 mb de trafego sem parar, pesquisei , me mandaram fazer um filtro com tarpit, não funcionou, fiz um bloqueio da range de ips, no meu caso era ataque DDoS mesmo, ate que numa conversa com um amigo de uma Telecom que vende link dedicado com rádios de frequência fechada, me passou algumas dicas, consegui chegar a uma regra de firewall que resolveu meu problema, estou usando essa regra a alguns meses... vamos lá:

    /ip firewall filter
    add action=drop chain=forward comment="Bloqueio DDoS" disabled=no dst-port=161 protocol=udp

    Por favor, se lhe foi útil, poste os resultados e clique na estrelinha

  14. #14

    Padrão Re: Ataque por udp

    Sofri dias atras o mesmo ataque segue a img, um determinado IP me mando varias solicitações de UDP com isso congestionando meu link, fiz diversas regras e mesmo assim não bloqueava, liguei na ctbc onde pego o link, ( não possuo AS e nem BGP) e pedi para bloquear esse ip e estou esperando a resposta dele..

    Clique na imagem para uma versão maior

Nome:	         atque-under.jpg
Visualizações:	309
Tamanho: 	134,6 KB
ID:      	46593

    segue img abaixo varias conexões do mesmo ip da porta que ele esta atacando.

    Clique na imagem para uma versão maior

Nome:	         ataque2-under.jpg
Visualizações:	308
Tamanho: 	164,5 KB
ID:      	46594

    Segue abaixo uma das regras que fiz.
    Fiz regra de Reject e drop mesmo assim o ataque continuava.
    Fiz regra para bloquear conexão invalidas e nd.
    Fiz de tudo mesmo.

    Src-Address - Ip do atacante
    Dst-Address - Ip que esta recebendo o ataque, coloquei também meu bloco inteiro.
    Protocol - 17 UDP
    Src-Port - Porta que esta mandando o ataque.
    Dst-Port - coloquei todas as portas. pois são varias que ele atacava.
    In. Interface - Interface onde recebe o link da operado.
    Action - coloquei drop depois mudei para reject.


    Clique na imagem para uma versão maior

Nome:	         ataque-regra.jpg
Visualizações:	260
Tamanho: 	71,0 KB
ID:      	46595

    Podemos verificar img abaixo que mesmo assim consumia o link.
    Bloqueei UDP dele fiz de tudo, mesmo assim ele consumia meu link.
    Unica solução que achei cabível, ligar onde contratei o link e informa a eles se é possível fazer algo ou bloquear, esperei o telefonema de retorno e ainda nd e o ataque parou hoje.
    Alguém com experiencia tem alguma ipo tese no que posso fazer..

    Clique na imagem para uma versão maior

Nome:	         ataque-regra-2.jpg
Visualizações:	332
Tamanho: 	113,7 KB
ID:      	46596

    So para ficar melhor o intendimento, contratei 50mbs da CTBC e com isso fiz as devidas configurações na minha RB 1100 Ahx2.

    Ether 1 configurei o ip wan que eles deram / 30.
    Eles redirecionaram um /25 para mim de ips públicos e tive que fazer RIP em cima deles .
    Criei uma bridge coloquei o bloco / 25 em cima da bridge
    Percebi que o ataque ia para um ip do meu bloco /25 com isso desative esse bloco o ataque parou, problema que tenho serviços em cima desse bloco etcc..
    Ativava o bloco o ataque voltava.
    Outra informação, eu quebrei meu bloco em um / 30 para um serviço meu e com isso fico exemplo RB1100 Ahx2 187.x.x.1/30 e meu serviço 187.x.x.2 /30 e ele atacava minha rb no caso esse ip 187.x.x.1, eu fiz o seguinte desativei esse ip, mesmo desativado ele consegui chega em mim. Unica opção foi desativa o bloco inteira e o RIP ae o ataque parou e meus serviços também, pois dependo do ip publico.

  15. #15

    Padrão Re: Ataque por udp

    boa noite amigos, estou passando pelo mesmo problema de ataque, alguém pode me dar uma dica de como resolver....
    criei uma regra em filter rules - chain:forward - SRC Address: Bloco do IP do Ataque - Action: drop.
    A regra contabiliza, porem não elimina o ataque!
    Veja a imagem de um torch na interface.
    Clique na imagem para uma versão maior

Nome:	         tela ataque.jpg
Visualizações:	317
Tamanho: 	1,42 MB
ID:      	61620

  16. #16

    Padrão Re: Ataque por udp

    Esses ataques devem ser bloqueados no roteador de borda, só assim vai ser resolvido. Conheço um amigo que só conseguiu bloquear na borda, ou seja na sua operadora de link caso não seja bgp.