Visitante Postado Agosto 25, 2014 Compartilhar Postado Agosto 25, 2014 FlowSpec enviado pelo usuário é menos comum (acho que só a NTT chegou a ter, e não sei se ainda tem), mas muitos backbones que são 100% Juniper implementam FlowSpec internamente e poderiam dropar já nos pontos de origem. Bloqueio de tráfego UDP em operadoras brasileiras que tem roteadores nos EUA como Level 3, Algar, Telefónica e Embratel seria plenamente possível... ficam só Oi, GVT e TIM esperando suas fibras serem lotadas antes de mitigar qualquer coisa. Já o tráfego originado aqui dentro possivelmente fosse mais simples rastrear ou pegar/limpar/devolver mesmo. Tem uma apresentação bem atualizada dos ataques volumétricos possíveis atualmente que é bem legal: https://app.box.com/s/4h2l6f4m8is6jnwk28cg/1/339326512/16353632025/1 Acredito que é possível, desconheço pois não sei como funciona as redes da Algar, Telefonica/Embratel nos USA. Já aqui, a Tinet não nos permitiu fazer isso em outro caso. Fora que efetuando bloqueio do tráfego UDP causaria MUITOS problemas, é uma opção inviável pra esse caso. Link para o comentário
Leo Amarante Postado Agosto 25, 2014 Compartilhar Postado Agosto 25, 2014 Esse problema com a EVEO me fez pensar se vale a pena ter qualquer serviço no Brasil, eu já tinha dúvidas sobre a estrutura dos DC's daqui mas parece que é pior do que imaginei, parece que é muito frágil e mesmo com recursos $$ há falta de estrutura técnica. Pelo que o Erick falou, com um único servidor seria possível realizar um ataque desse tipo, e sabemos que se isso permanecer por muitos dias pode acabar com a empresa ou pelo menos abalar a solidez. Link para o comentário
Visitante Postado Agosto 25, 2014 Compartilhar Postado Agosto 25, 2014 Esse problema com a EVEO me fez pensar se vale a pena ter qualquer serviço no Brasil, eu já tinha dúvidas sobre a estrutura dos DC's daqui mas parece que é pior do que imaginei, parece que é muito frágil e mesmo com recursos $$ há falta de estrutura técnica. Pelo que o Erick falou, com um único servidor seria possível realizar um ataque desse tipo, e sabemos que se isso permanecer por muitos dias pode acabar com a empresa ou pelo menos abalar a solidez. Infelizmente, um ataque desses em qualquer servidor nos USA nenhum datacenter vai poder mitigar pra você, não por preço de banana... -- Sim, o NTP é MUITO forte, mas o SNMP Reflecion é 500 vezes pior. Link para o comentário
rubensk Postado Agosto 25, 2014 Compartilhar Postado Agosto 25, 2014 Acredito que é possível, desconheço pois não sei como funciona as redes da Algar, Telefonica/Embratel nos USA. Já aqui, a Tinet não nos permitiu fazer isso em outro caso. Fora que efetuando bloqueio do tráfego UDP causaria MUITOS problemas, é uma opção inviável pra esse caso. Bloqueio só de UDP 123 (NTP) não causaria... eles poderiam fazer NTP apenas com serviços daqui (como o NTP.br) ou mesmo pegar um GPS e colocar um stratum 0 na rede deles. Link para o comentário
Visitante Postado Agosto 25, 2014 Compartilhar Postado Agosto 25, 2014 Bloqueio só de UDP 123 (NTP) não causaria... eles poderiam fazer NTP apenas com serviços daqui (como o NTP.br) ou mesmo pegar um GPS e colocar um stratum 0 na rede deles. Ela não permite. Ou você bloqueia o tráfego UDP inteiro, ou deixa tudo liberado. Infelizmente aqui é assim... Link para o comentário
rubensk Postado Agosto 25, 2014 Compartilhar Postado Agosto 25, 2014 Infelizmente, um ataque desses em qualquer servidor nos USA nenhum datacenter vai poder mitigar pra você, não por preço de banana... -- Sim, o NTP é MUITO forte, mas o SNMP Reflecion é 500 vezes pior. Em termos. O SNMP tem um múltiplo de reflexão menor... há mais dispositivos SNMP no mundo então o potencial parece maior, mas no caso do SNMP muitos estão em uplinks fracos. Com NTP se consegue muita coisa com menos máquinas melhor conectadas. Eu também temia mais SNMP do que NTP, mas pelo menos nos próximos meses enquanto os refletores de ataque NTP não são fechados o NTP vai continuar grande. Depois SNMP e DNS voltam para a pauta do dia... Link para o comentário
rubensk Postado Agosto 25, 2014 Compartilhar Postado Agosto 25, 2014 Ela não permite. Ou você bloqueia o tráfego UDP inteiro, ou deixa tudo liberado. Infelizmente aqui é assim... Mas bloquear UDP inteiro é uma alternativa para a Eveo. A única aplicação problemática é VPN (UDP 500 em IPSEC, UDP 1194 em OpenVPN); DNS pode-se fazer sobreviver usando raízes DNS no Brasil, serviço recursivo com forward por outro IP não divulgado, e serviço autoritativo todo colocado em serviços com anycast global (Cloudflare, Dyn, Route 53, n outros). Já streaming já se faz muito mais em TCP hoje em dia, e tipicamente já faz fall-back automático de UDP pra TCP mesmo que tenha preferência para UDP. Jogos eu tenho impressão que a Eveo não trabalha. Link para o comentário
Alexandre Duran Postado Agosto 25, 2014 Compartilhar Postado Agosto 25, 2014 Boa sorte, aqui eles bloquearam os backups de cloud prime por cPanel. Se for fazer manual, simplesmente esta baixando a 17 KB/s (https://www.dropbox.com/s/nk10mzsg5258h5f/Captura%20de%20tela%202014-08-24%2011.52.27.png?dl=0). Um verdadeiro absurdo como essa empresa se comporta. Além da EVEO (http://www.eveo.com.br) prestar um serviço e atendimento MUITO porcos (conseguem levar 15 dias pra responder um chamado), ainda ficam amarrando cliente lá. Pura palhaçada. Empresinha fundo de quintal. Pede para seu cliente abrir um ticket "mal educado" lá que eles liberam. Link para o comentário
Visitante Postado Agosto 25, 2014 Compartilhar Postado Agosto 25, 2014 Mas bloquear UDP inteiro é uma alternativa para a Eveo. A única aplicação problemática é VPN (UDP 500 em IPSEC, UDP 1194 em OpenVPN); DNS pode-se fazer sobreviver usando raízes DNS no Brasil, serviço recursivo com forward por outro IP não divulgado, e serviço autoritativo todo colocado em serviços com anycast global (Cloudflare, Dyn, Route 53, n outros). Já streaming já se faz muito mais em TCP hoje em dia, e tipicamente já faz fall-back automático de UDP pra TCP mesmo que tenha preferência para UDP. Jogos eu tenho impressão que a Eveo não trabalha. Acredito que tem até jogos na rede da Eveo. Maioria dos clientes utilizam DNS da Google, acredito que isso seria problemático ao trocar DNS para um próprio. Fora que também utilizam NFS, SNMP, entre outras aplicações UDP. -- Afinal, Se o NTP já é ruim, imagine o SNMP. Ele tem um fator de amplificação no mínimo 700 vezes maior que o NTP. Link para o comentário
rubensk Postado Agosto 25, 2014 Compartilhar Postado Agosto 25, 2014 Acredito que tem até jogos na rede da Eveo. Maioria dos clientes utilizam DNS da Google, acredito que isso seria problemático ao trocar DNS para um próprio. Fora que também utilizam NFS, SNMP, entre outras aplicações UDP. -- DNS do Google+OpenDNS é fácil de resolver para uma crise dessas, que é anunciar internamente um hijack. E o Google DNS costuma estar disponível no Brasil, então o OpenDNS seria mais problema do que o Google. NFS e SNMP é o tipo que não se faz diretamente via Internet sem algum tipo de protocolo de segurança. E é aqui que entram preocupações com os UDP 500 (IKE do IPSEC) e UDP 1194 (OpenVPN) que seriam afetados. Quem faz NFS e SNMP diretamente na Internet em aberto, que são protocolos UDP e portanto mais facilmente spoofáveis, merece um troféu joinha... Link para o comentário
Posts Recomendados