Jump to content

Recommended Posts

Sono stato oggetto più volte di attacchi DDOS che puntano a saturare la banda in ingresso a mia disposizione (100 Mbps).

Uno di questi attacchi è avvenuto proprio una manciata di minuti fa. Purtroppo non so se è uguale a quelli precedenti dato che il provider ha sospeso la connettività verso la macchina come procedura standard per proteggere la propria rete e quindi non ho alcun accesso ai log, ma se lo fosse si tratta di un grosso numero di web server zombie che mandano traffico UDP (l'ultima volta erano circa 60).

Qui potete vedere il dump di uno di questi pacchetti No. Time - Anonymous - QJ2a75c4 - Pastebin.com

Ho telefonato all'assistenza della farm presso cui affitto la macchina e mi ha riferito che l'attacco consisteva di 50 Mbps. Credo e spero che nella fretta abbia letto un valore mediato (l'attacco non è stato di lunga durata), ma 50 Mbps sembrano pochini per mandare in ginocchio gli switch.

 

Mi chiedevo cosa si potesse fare per arginare questo problema: come potete immaginare è inammissibile per me la prospettiva di ritrovarmi il server sospeso per 2-3 ore ogni volta che un pirla preme un bottoncino e decide di inondarmi di merda.

Come fronteggiano i vari provider problemi di questo tipo?

Share this post


Link to post
Share on other sites

Pure a me sembra assurdo che 50 mbps mettano in ginocchio l'infrastruttura di rete. Deve essersi trattato di un abbaglio di chi mi ha risposto al telefono, dopo aver guardato il grafico della banda

o3y_.png

 

Il mio indirizzo appartiene al AS3313 (INET-AS), quindi al limite dovrei chiedere al provider di identificare i vari indirizzi sorgente per poi contattare il NOC di i.net e farli intervenire. Sembra veramente poco pratico, anche perché gli attacchi di solito durano pochissimi minuti.

Share this post


Link to post
Share on other sites

Mi sembra strano che un operatore disconnetta un cliente per 50Mbps di traffico, sono veramente pochi. Probabilmente c'è un reseller nel mezzo tra i.Net e voi.

 

Altra alternativa potrebbe essere quella di utilizzare un sistema di filtraggio esterno che poi vi riconsegna il traffico pulito e mitigato al vostro web server attraverso un tunnel.

Share this post


Link to post
Share on other sites

il provider è piuttosto grande e con un discreto parco macchine. non credo proprio abbia altri intermediari.

 

Avevo letto tempo fa di soluzioni offerte da società esterne per ripulire il traffico, ma si applicavano alle richieste verso siti web: noi sulla macchina teniamo gameserver, dove la latenza è tutto

Share this post


Link to post
Share on other sites

Il blackholing bgp protegge sempre e solo il provider, mai il cliente, anche perchè si fa sul destinatario degli attacchi (ovvero è il cliente stesso ad andare in blackhole e non l'attaccante) ed il risultato è avere la banda libera per il provider e la macchina fuori uso per il cliente.

 

Non vedo alcuna utilità a fronteggiare un dos (in ingresso) staccando la macchina come nel tuo caso. Il traffico malevolo ci arriva ugualmente agli apparati di routing del provider, visto che vengono annunciate come minimo subnet /24 e non singoli host, quindi il traffico viene occupato ugualmente, almeno fino ai router interni che gestiscono la subnet a cui il tuo ip appartiene.

Il blackholing serve proprio ad evitare che questo traffico entri nella rete del provider annunciando una route fasulla per la macchina coinvolta e di conseguenza a mettere fuori uso il tuo server, visto che sarebbe annunciato con route fittizie.

Share this post


Link to post
Share on other sites
Non vedo alcuna utilità a fronteggiare un dos (in ingresso) staccando la macchina come nel tuo caso. Il traffico malevolo ci arriva ugualmente agli apparati di routing del provider, visto che vengono annunciate come minimo subnet /24 e non singoli host, quindi il traffico viene occupato ugualmente, almeno fino ai router interni che gestiscono la subnet a cui il tuo ip appartiene.
effettivamente non ha molto senso, da un traceroute fatto ora si vede che il percorso si interrompe tra l'ultimo router e la macchina, non hanno filtrato a monte ma hanno 'staccato la spina'. Da un traceroute fatto durante l'attacco si vedeva che i pacchetti iniziavano a venir persi proprio da quel router. Il traffico malevolo è UDP, non richiede connessione e quindi gli arriverebbe comunque in caso di nuovo attacco anche a macchina scollegata.

E intanto sono 5 ore e 15 di down forzato. Non capisco

Share this post


Link to post
Share on other sites

Non ha niente a che vedere UDP o no.

Come hai tu stesso notato, il traceroute ti porta ugualmente al router subito sopra la macchina, perchè quel router continua ad annunciare la subnet indipendentemente dalla connessione o meno del server.

 

Pertanto la rotta per arrivare fino alla tua macchina continua ad essere presente, solo che la macchina non risponde perchè steccata.

Una soluzione di quel tipo può portare, ad occhio e croce, solo due vantaggi:

1) lo switch tra te ed il router viene 'scaricato' visto che il traffico non viene più inoltrato verso il tuo server ma termina sul router

2) il traffico in uscita viene eliminato, visto che il tuo server non risponde.

 

Ma come hai notato, il traffico malevolo nella rete del provider continua a trafficare, se il DoS fosse stato di 20GB (per dire) staccare il cavo non servirebbe a nulla, in ingresso avresti sempre e comunque 20GB

 

Il blackholing invece sopprime del tutto il traffico annunciando (grazie ai provider compiacenti) una route /32 che deve essere instradata verso il tugurio quindi un eventuale traceroute terminerebbe nei router dei vari peering, che per forza di cose han più banda del tuo provider.

Share this post


Link to post
Share on other sites

Salve,

essendo noi la società che ha subito il ddos vorrei chiarire alcune cose.

 

Prima di tutto non hai contattato l' helpdesk, ma hai chiamato l' ufficio commerciale, che, bontà loro ti han risposto, ma conoscendoli, son buoni giusto per fare le fatture (che poi è il loro compito), quindi non capisco perchè hai ignorato i ticket in cui io ti ho risposto e hai voluto ascoltare solo quello che ti han detto telefonicamente.

 

Il ddos non è solamente di 50Mbps, se ti han detto così è solo perchp han visto il grafico della tua scheda. Il picco è stato di circa 600Mbps, non un granchè, non abbastanza per poter mettere in crisi i router o i centro stella, ma sufficiente a mettere in crisi uno switch di rack, che è pur sempre un cisco 2950T.

 

Per tale motivo non abbiamo messo la vlan in blackhole, in quanto misura eccessiva visto che quella quantità non crea alcun problema ai nostri border router.

 

Lato cliente si vedono circa 50Mbps perchè il grafico è aggiornato ogni 5 minuti e abbiamo staccato la macchina prima che il grafico potesse iniziare a generare grafici corretti. Inoltre, essendo una porta fastethernet si sarebbe visto semplicemente un bel buco e nulla più.

 

L'operazione di messa in blackhole dei sistemi viene utilizzata solo per dos di grande portata, in quel caso però, solitamente, si lavora anche con l' internazionale per operare misure maggiormente sicure, ma questa è un'altra storia.

 

Spero di essere stato chiaro, in caso contrario rimango a disposizione privatamente.

 

Cla, nel tuo caso, ti chiedo, per qualsiasi problema futuro, di contattare il supporto tecnico, se usi altri canali, come per esempio il supporto amministrativo non potremo garantire risposte esaustive.

 

Cordiali Saluti,

 

Matteo Berlonghi

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×