Flood UDP

[Trojahn]

Bem, Cisco nao eh o meu forte mas infelizmente soh tem eu pra resolver o pepino... Entao peco humildemente a ajuda de quem estiver disposto.

Nas ultimas 2 semanas estamos sendo "pacotados" quase que permanentemente. Com isso o roteador morre em 100% de processamento parando tudo. Eis o que eu fiz ateh o momento:

1 - ACL para negar todo o trafego UDP para o host alvo. Nao adiantou, dropa os pacotes mas mesmo assim nao baixa o processamento.
2 - Mudei a forma a estrategia de queue das interfaces para random early detection(RED). Processamento fica alto mas o trafego nao para completamente. Mas fica muito lento mesmo. Qualquer pessoa acha inaceitavel a velocidade.
3 - Fiz uma service-policy para shapear todo o trafego UDP para o host alvo. Mesma coisa que o primeiro... Trafego para completamente.

Em todos estes casos tive que ter muita paciencia mesmo pois o roteador mal pinga... Pra conseguir fazer alguma coisa por telnet, tive que escrever os comandos em ordem em um editor de texto, abrir o telnet, e colar no roteador... Isso pra voces terem nocao da situacao...

Alguem saberia de alguma forma de filtrar isso? Algo do tipo "aceite tantos pacotes por segundo de cada ip"? No momento esta tudo funcionando pois fiz um filtro direto na fornecedora do link... Mas daki a pouco os IPs atacantes mudam e tudo recomeca... Os ataques sao UDP e estao vindo de IPs variados... Provavelmente falsos ou zumbis...

Agradeco qualquer dica...

[Sasser]

Despluga o cabo de rede que para na hora!

[marcelloduarte]

Se não me engano aqui na underlinux na parte de artigos firewall, tem uma regra para aceitar tantos pacotes por seg e tal. Mas e para iptables. De uma olhada e tente passar para o seu roteador....

[demiurgo]

vc pode contatar sua operadora pra fazer o DROP dos packets direto nos roteadores deles, assim q carga naum chegaria no seu equipamento

[]`s

[mistymst]

Isso exatamente, ligue para sua provedora do link eh mande ela bloquear isso nos roteadores de borda dela, jah que o seu cisco provavelmente nao eh nenhuma serie cavala para aguentar todo esse processamento, a MELHOR solucao eh voce mandar eles bloquearam para voce, pq:


1 - o seu link nao fica sendo utilizado
2 - voce nem seu preocupa pq o router nao eh seu.

[Trojahn]

Eh... Isso ja ta feito... Mas como eu disse, frequentemente os IPs dos atacantes mudam, logo, o filtro deixa de funcionar...

Minha intencao nao eh lidar com o ataque localmente... Eh apenas fazer com o roteador consiga lidar de uma forma mais aceitavel com o ataque pelo menos ate que eu possa ligar para a operadora e reajustar o filtro... Realmente eh muito complicado pois nao encontrei absolutamente nada na Internet sobre isso...

[meiolouco]

Cara,
Se for um cisco 2501 vc pode tentar uma atualização do Sistema Operacional dele, pois esse tipo de vulnerabilidade do UDP já é meio antiga.
Essa atualização permite que os pacotes UDP direcionados diretamente ao roteador sejam ignorados sem serem analisado, evitando uso do processamento.
[]´s
ROdrigo

[Trojahn]

To sabendo dessa vulnerabilidade... Os pacotes nao sao direcionados ao Cisco...

Bem, como vamos aumentar o link aqui, compramos tambem um roteador mais parrudo... Tomara q esse bixim aguente agora..

[demiurgo]

o problema naum eh soh seu router aguentar, e sim o flood consumir recursos d banda do seu link, o maior prejuizo eh esse

[]'s

[Trojahn]

Yep...
Soh que se antes de toda a banda ser consumida o roteador ja tah abrindo o bico, nao adianta muita coisa

[rkenji]

Velho, pra poder te ajudar seria legal vc comentar um pokinhu da topologia adotada na sua empresa e tbm, que tipos de protocolos vc estah utilizando no router, encapsulamento, modelo do router e o seu IOS.

O router tem como um recurso o access-list, que nada mais é do que um firewall imbutido no seu router cisco. Não chega a ser um PIX ou Check-Point, mas é excelente para determinados casos. Como o seu router jah está pedindo pra "parar", seria recomendado utilizar o minimo de recurso possível. Não trabalhe com access-list entao.

É bom saber tbm, que tipo de rede é utilizado na nuvem da sua concessionária. Com a Embratel vc pode trabalhar com BGP, é execelente para determinados casos. Uma rede inteligente e rápida, sem necessidade de configuração de sub-interfaces nos routers locais a cada instalação de uma nova filial. A GVT vc pode optar por Rotas estáticas ou trabalhar com RIP2. A mesma coisa com a Brasil Telecom e a Telemar (Rota Estática e RIP2). O OSPF roda na GVT, Brasil Telecom e se nao me engano na Telemar, e é exelente para determinados casos tbm, mas é preciso saber estruturá-lo. Trabalhar em ranges para diminuir tráfego e tabela de roteamento. No RIP2 é interessante trabalhar com distribute-list pra limitar uma range especifica e diminuir a tabela de roteamento tbm.

Velho, não sei como te ajudar sem conhecer a sua rede. A Sabesp tem uma puta infraestrutura, com uma centena de filiais interligadas e atualmente trabalha com OSPF, dividida por ranges.

Se sua rede está tão vulnerável a ataques é aconselhável um firewall. Se estão sobrecarreganado sua rede, tem algo de errado na montagem e implementação da sua rede. Ou em último caso, o seu router tá pedindo aposentadoria por invalidez.

Tem quem opte pela redundancia, trabalhar com dois routers e dois links. Para alguns isso se torna inviável, para outros uma solução de estabilidade. Vírus derruba muitas redes, derruba firewall, routers, etc. É sempre bom ver se o ataque é externo mesmo, muitas vezes são virus que estão na rede, causados por usuários da SUA REDE mesmo, outras vezes são ataques externos de negação de serviço, ou exploits. Sinceramente, o PIX barra ataques de DoS/DDoS, além de ser um puta firewall. Reveja a sua rede, estude cada ponto, tente descobrir de onde surgem os maiores ataques. A idéia é pegar o caso e estudar.

Obs. Se o seu problema é processamento do router, instale um firewall. Eu aconselho o PIX da Cisco, ele pega tudo que chega e analisa. Vc cria politicas e regras para tratar os pacotes que chegam até ele. Além de o PIX ser inteligente o bastante para diferenciar um ping de um DoS, descartando qualquer processamento do router. Dependendo de como estiver, identifica e bloqueia ações viróticas. Quanto a força do firewall pense assim: ele nao eh imbativel, mas foi criado pra isso. A força dele comparado com um filtrozinhu de router dá de 10 x 0.

Velho é isso, pra vc soh desejo boa sorte!

Abraços,

Renato Kenji.
iNetFuria S.A.

[vilao]

Uma ideia seria entrar na interface do cisco

dar um ip accounting

Depois sh ip accounting para pegar os IPs de onde vinha o DDOS e criar uma rota de entrada na serial0 apontando para null.

O cisco vai descartar os pacotes vindos da rede atacante.

Eu fiz isso e funcionou.

Carlos

[nafre]

Bem, como vamos aumentar o link aqui, compramos tambem um roteador mais parrudo... Tomara q esse bixim aguente agora..

Cara, não adianta, bloquea logo o trafego da onde ta vindo o flood!

Assim vc evita até mais preocupações com outras series de ataques, que pode até causar mais prejuizo!