fronteggiare attacchi ddos

[cla]

Sono stato oggetto più volte di attacchi DDOS che puntano a saturare la banda in ingresso a mia disposizione (100 Mbps).
Uno di questi attacchi è avvenuto proprio una manciata di minuti fa. Purtroppo non so se è uguale a quelli precedenti dato che il provider ha sospeso la connettività verso la macchina come procedura standard per proteggere la propria rete e quindi non ho alcun accesso ai log, ma se lo fosse si tratta di un grosso numero di web server zombie che mandano traffico UDP (l'ultima volta erano circa 60).
Qui potete vedere il dump di uno di questi pacchetti No. Time - Anonymous - QJ2a75c4 - Pastebin.com
Ho telefonato all'assistenza della farm presso cui affitto la macchina e mi ha riferito che l'attacco consisteva di 50 Mbps. Credo e spero che nella fretta abbia letto un valore mediato (l'attacco non è stato di lunga durata), ma 50 Mbps sembrano pochini per mandare in ginocchio gli switch.

Mi chiedevo cosa si potesse fare per arginare questo problema: come potete immaginare è inammissibile per me la prospettiva di ritrovarmi il server sospeso per 2-3 ore ogni volta che un pirla preme un bottoncino e decide di inondarmi di merda.
Come fronteggiano i vari provider problemi di questo tipo?

[SkyWebHosting]

Per un attacco dDOS 50Mbps mi sembrano pochini, ad ogni modo per far fronte ad attacchi dDOS il metodo più efficace e largamente usato risulta essere il blackholing via BGP, ma l'operatore deve essere un Autonomous System per fare ciò.

[cla]

Pure a me sembra assurdo che 50 mbps mettano in ginocchio l'infrastruttura di rete. Deve essersi trattato di un abbaglio di chi mi ha risposto al telefono, dopo aver guardato il grafico della banda


Il mio indirizzo appartiene al AS3313 (INET-AS), quindi al limite dovrei chiedere al provider di identificare i vari indirizzi sorgente per poi contattare il NOC di i.net e farli intervenire. Sembra veramente poco pratico, anche perché gli attacchi di solito durano pochissimi minuti.

[SkyWebHosting]

Mi sembra strano che un operatore disconnetta un cliente per 50Mbps di traffico, sono veramente pochi. Probabilmente c'è un reseller nel mezzo tra i.Net e voi.

Altra alternativa potrebbe essere quella di utilizzare un sistema di filtraggio esterno che poi vi riconsegna il traffico pulito e mitigato al vostro web server attraverso un tunnel.

[cla]

il provider è piuttosto grande e con un discreto parco macchine. non credo proprio abbia altri intermediari.

Avevo letto tempo fa di soluzioni offerte da società esterne per ripulire il traffico, ma si applicavano alle richieste verso siti web: noi sulla macchina teniamo gameserver, dove la latenza è tutto

[guest]

Il blackholing bgp protegge sempre e solo il provider, mai il cliente, anche perchè si fa sul destinatario degli attacchi (ovvero è il cliente stesso ad andare in blackhole e non l'attaccante) ed il risultato è avere la banda libera per il provider e la macchina fuori uso per il cliente.

Non vedo alcuna utilità a fronteggiare un dos (in ingresso) staccando la macchina come nel tuo caso. Il traffico malevolo ci arriva ugualmente agli apparati di routing del provider, visto che vengono annunciate come minimo subnet /24 e non singoli host, quindi il traffico viene occupato ugualmente, almeno fino ai router interni che gestiscono la subnet a cui il tuo ip appartiene.
Il blackholing serve proprio ad evitare che questo traffico entri nella rete del provider annunciando una route fasulla per la macchina coinvolta e di conseguenza a mettere fuori uso il tuo server, visto che sarebbe annunciato con route fittizie.

[cla]

Non vedo alcuna utilità a fronteggiare un dos (in ingresso) staccando la macchina come nel tuo caso. Il traffico malevolo ci arriva ugualmente agli apparati di routing del provider, visto che vengono annunciate come minimo subnet /24 e non singoli host, quindi il traffico viene occupato ugualmente, almeno fino ai router interni che gestiscono la subnet a cui il tuo ip appartiene.

effettivamente non ha molto senso, da un traceroute fatto ora si vede che il percorso si interrompe tra l'ultimo router e la macchina, non hanno filtrato a monte ma hanno 'staccato la spina'. Da un traceroute fatto durante l'attacco si vedeva che i pacchetti iniziavano a venir persi proprio da quel router. Il traffico malevolo è UDP, non richiede connessione e quindi gli arriverebbe comunque in caso di nuovo attacco anche a macchina scollegata.
E intanto sono 5 ore e 15 di down forzato. Non capisco

[guest]

Non ha niente a che vedere UDP o no.
Come hai tu stesso notato, il traceroute ti porta ugualmente al router subito sopra la macchina, perchè quel router continua ad annunciare la subnet indipendentemente dalla connessione o meno del server.

Pertanto la rotta per arrivare fino alla tua macchina continua ad essere presente, solo che la macchina non risponde perchè steccata.
Una soluzione di quel tipo può portare, ad occhio e croce, solo due vantaggi:
1) lo switch tra te ed il router viene 'scaricato' visto che il traffico non viene più inoltrato verso il tuo server ma termina sul router
2) il traffico in uscita viene eliminato, visto che il tuo server non risponde.

Ma come hai notato, il traffico malevolo nella rete del provider continua a trafficare, se il DoS fosse stato di 20GB (per dire) staccare il cavo non servirebbe a nulla, in ingresso avresti sempre e comunque 20GB

Il blackholing invece sopprime del tutto il traffico annunciando (grazie ai provider compiacenti) una route /32 che deve essere instradata verso il tugurio quindi un eventuale traceroute terminerebbe nei router dei vari peering, che per forza di cose han più banda del tuo provider.

[SeFlow]

Salve,
essendo noi la società che ha subito il ddos vorrei chiarire alcune cose.

Prima di tutto non hai contattato l' helpdesk, ma hai chiamato l' ufficio commerciale, che, bontà loro ti han risposto, ma conoscendoli, son buoni giusto per fare le fatture (che poi è il loro compito), quindi non capisco perchè hai ignorato i ticket in cui io ti ho risposto e hai voluto ascoltare solo quello che ti han detto telefonicamente.

Il ddos non è solamente di 50Mbps, se ti han detto così è solo perchp han visto il grafico della tua scheda. Il picco è stato di circa 600Mbps, non un granchè, non abbastanza per poter mettere in crisi i router o i centro stella, ma sufficiente a mettere in crisi uno switch di rack, che è pur sempre un cisco 2950T.

Per tale motivo non abbiamo messo la vlan in blackhole, in quanto misura eccessiva visto che quella quantità non crea alcun problema ai nostri border router.

Lato cliente si vedono circa 50Mbps perchè il grafico è aggiornato ogni 5 minuti e abbiamo staccato la macchina prima che il grafico potesse iniziare a generare grafici corretti. Inoltre, essendo una porta fastethernet si sarebbe visto semplicemente un bel buco e nulla più.

L'operazione di messa in blackhole dei sistemi viene utilizzata solo per dos di grande portata, in quel caso però, solitamente, si lavora anche con l' internazionale per operare misure maggiormente sicure, ma questa è un'altra storia.

Spero di essere stato chiaro, in caso contrario rimango a disposizione privatamente.

Cla, nel tuo caso, ti chiedo, per qualsiasi problema futuro, di contattare il supporto tecnico, se usi altri canali, come per esempio il supporto amministrativo non potremo garantire risposte esaustive.

Cordiali Saluti,

Matteo Berlonghi

[guest]

Più chiaro di così...

[Uno]

di contattare il supporto tecnico, se usi altri canali, come per esempio il supporto amministrativo non potremo garantire risposte esaustive.

Perdonami se faccio la parte del diavolo e mi faccio un pacchetto (in udp = Uno diretto e palloso ) di affari miei ma se è vero che il tuo cliente ha cliccato il canale ticket a caso, è anche vero che dovresti istruire il tuo commerciale a non rispondere se non è di loro competenza e a indirizzare verso il reparto tecnico.
Probabilmente avranno voluto essere gentili e rispondere lo stesso, ma a volte una risposta sbagliata fa più danni di una non risposta.

[cla]

Gentile sig. Berlonghi,
ho "ignorato" il ticket perché, chiamando quello che - evidentemente sbagliando - ritenevo essere un numero telefonico non dedicato esclusivamente alle questioni commerciali, da chi mi ha risposto ho ricevuto risposte puntuali (si dimostrava perfettamente al corrente di quanto stesse accadendo) e anche molto tecniche (diceva che avrebbero dovuto pulire le tabelle ARP o qualcosa di simile). Addirittura ha anche parlato di tempi di risoluzione (2, 3 ore). Non ho avuto modo di sospettare che chi era dall'altra parte del telefono fosse buono solo a fare fatture e che dovessi ricorrere ai ticket per avere delle risposte sensate.

Che il ddos non fosse di 50 mbps già lo sospettavo come scritto più volte, però sul fatto che abbia compromesso il funzionamento del solo switch di armadio e non del router non sono così convinto, come del resto poteva vedere nel ticket che avevo inviato alle 15:37

Codice:

C:\>tracert www.seflow.it 

Tracing route to www.seflow.it [213.92.118.7] 
over a maximum of 30 hops: 

1 <1 ms <1 ms 1 ms 192.168.1.1 
2 25 ms 25 ms 25 ms 192.168.100.1 
3 25 ms 25 ms 26 ms r-bg34-vl2.opb.interbusiness.it [217.141.105.134 
] 
4 26 ms 25 ms 27 ms 172.17.9.1 
5 26 ms 26 ms 27 ms 151.99.75.164 
6 33 ms 25 ms 27 ms gw-mi-nap2-r-mi265.opb.interbusiness.it [151.99. 
98.130] 
7 27 ms 27 ms 26 ms 85.36.8.86 
8 26 ms 26 ms 25 ms Po1.bf2-swr1.net.inet.it [212.239.110.62] 
9 27 ms * * ge0-27.wf1-hsr17a.wf.inet.it [212.239.107.194] 
10 * 26 ms * ns1.seflow.net [213.92.118.7] 
11 * * * Request timed out. 
12 * * 27 ms ns1.seflow.net [213.92.118.7]

E proprio per questo motivo (pure voi avete subito danni) in una risposta al ticket chiedevo se volevate accodarvi alla denuncia che intendo formulare alla postale. Ora vedo che dopo la sua risposta qui sul forum ha provveduto a rimettere online la macchina e a chiudere il ticket, quindi forse le è sfuggita quella domanda o non siete interessati. In ogni caso la prego di farmi sapere, perché immagino che di fronte ad una denuncia di un attacco che coinvolge una singola macchina e un attacco che coinvolge un'intera farm la postale si muova più celermente e con maggiore determinazione nel secondo caso.

[SkyWebHosting]

Il traffico malevolo ci arriva ugualmente agli apparati di routing del provider, visto che vengono annunciate come minimo subnet /24 e non singoli host, quindi il traffico viene occupato ugualmente, almeno fino ai router interni che gestiscono la subnet a cui il tuo ip appartiene.

Perdonami, ma per correttezza devo dire che non è così. Le rotte possono essere annunciate nel sistema di blackholing anche con subnet /32 quindi singolo IP (Tutti i carrier prevedono questo). Inoltre come viene gestito il blackholing è molto diverso da provider a privider. I carrier solitamente mettono un routea null la rotta annunciata (singolo IP), altri come noi per esempio, sugli IP annunciati dirottano il traffico verso apparati che tentano di mitigare il traffico e restituirlo al cliente pulito, in caso di esito negativo viene annunciato in blackholing anche al carrier di upstream.

[guest]

Scusa ma io che ho detto?
In blackhole puoi annunciare le /32...

Mentre invece filtrare il traffico come fate voi non ha niente a che vedere con il blackhole.

Il blackhole funziona solo in un modo e lo dice la parola stessa, ovvero manda in nullroute.

[WizOfOz]

Scusa ma io che ho detto?
In blackhole puoi annunciare le /32...

Si ma si vedeva da un km che il tuo /32 non era convinto...
a occhio è croce direi che era un /31,9