[FUG-BR] Algum tipo de ataque?
Rodrigo Lorenz
lorenzhills em gmail.com
Segunda Março 26 11:42:45 BRT 2007
Saudações a todos,
Depois de muito sofrimento, implementei recentemene o
balanceamento de 2 operadoras (Telemar e Embratel) usando o PF, que
também uso para fazer nat. Estou correndo atráz do AS, portando essa
solução é provisória.
O balanceamento está funcionando, porém depois que fiz
esse balanceamento as vezes minha rede fica sendo "bombardeada" com
pacotes estranhos durante alguns segundos e depois volta tudo ao
normal. Vejam a saida do tcpdump na interface de atendimento de
clientes:
10:39:05.600311 IP 200.200.13.136.62443 > 200.200.236.67.3072: tcp 0
10:39:05.600735 IP 62.163.20.64.14953 > 200.200.13.131.1339: tcp 0
10:39:05.601178 IP 200.200.13.138.37664 > 200.200.236.67.3072: tcp 0
10:39:05.601181 IP 200.200.13.136.61818 > 200.200.236.67.3072: tcp 0
10:39:05.601184 IP 200.200.13.136.62443 > 200.200.236.67.3072: tcp 0
10:39:05.601186 IP 200.200.13.135.40303 > 200.200.236.67.3072: tcp 0
10:39:05.601238 IP 200.200.13.129 > 200.195.13.135: ICMP time exceeded
in-transit, length 56
10:39:05.601242 IP 200.200.13.130.65198 > 200.200.236.67.3072: tcp 0
10:39:05.601293 IP 200.200.13.129 > 200.195.13.130: ICMP time exceeded
in-transit, length 56
10:39:05.602072 IP 200.200.13.135.56855 > 200.200.236.67.3072: tcp 0
10:39:05.602075 IP 200.200.13.136.62443 > 200.200.236.67.3072: tcp 0
10:39:05.602077 IP 200.200.13.135.52752 > 200.200.236.67.3072: tcp 0
10:39:05.602080 IP 200.200.13.134.35779 > 200.200.236.67.3072: tcp 0
10:39:05.602148 IP 200.200.13.136.43004 > 200.200.236.67.3072: tcp 0
10:39:05.603131 IP 200.200.13.134.35779 > 200.200.236.67.3072: tcp 0
10:39:05.603134 IP 200.200.13.136.55665 > 200.200.236.67.3072: tcp 0
10:39:05.603186 IP 200.200.13.129 > 200.195.13.136: ICMP time exceeded
in-transit, length 56
É inacreditável a quantidade de pacote que passa por segundo . Não é
apenas nessa porta 3072, são várias portas, as vezes até a porta 80
entra no meio da sujeirada . O IP de origem e destino fazem parte da
minha rede, são gateways de clientes e as vezes o destino é minha rede
DMZ. Durante os poucos segundos que esse pacotes ficam passando na
minha rede, as interrupções de hardware chegam a 50/60% e tudo fica
lento, para tudo, e depois volta ao normal, coisa de 10/15 segundos.
Tenho o IPFW implementado com política CLOSE e antes do balanceamento
não tinha esse problema. Tenho regras que bloqueam algumas tcpflags,
rfc1918, spoof, icmptypes 3,8,11,13,15,17, bloqueio várias portas,
etc, e como já disse a politica é fechada. Alguém tem idéia do que
pode está acontecendo? Será que ta faltando algumas regras no meu
pf.conf que teoricamente impediriam isso? Pode ser algum ataque de
Synflood? Se for o caso, coloco meu pf.conf aqui para vocês.
E detalhe: Quando desativo o pf, não tenho mais esse problema.
Desativo o pf, volto a usar o nat via socktes divert.
Agradeço qualquer ajuda
Rodrigo Lorenz
Mais detalhes sobre a lista de discussão freebsd