[FUG-BR] Ataque DDoS - Serviços expostos
Fabiano Ribeiro
fabiano.ribeiro em gerenciatec.com.br
Sábado Agosto 8 16:22:49 BRT 2015
Fala Pessoal,
Estou tendo um ataque aqui de DDoS baseado em amplificação de DNS que a
princípio estava acontecendo no .1 do primeiro prefixo ipv4 /22 que tenho
do meu AS, até aí tudo bem joguei esse ip para blackhole, porém quando
parei o primeiro começou a acontecer também para o .1 do segundo prefixo
/22 que tenho do meu ASN.
Estou considerando que deve ser alguém que fez ataque para esses ips dos
meus prefixos, porém o curioso é que esses dois ips estão associados em
interfaces no freebsd de borda. Por isso pensei que poderia ser uma
resposta por estar exposto algum serviço que possa ser utilizado em ataque
de ddos.
$ sockstat -4 -l
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
root sshd 1052 5 tcp4 *:2200 *:*
root syslogd 864 7 udp4 *:514 *:*
quagga bgpd 598 7 tcp4 *:179 *:*
quagga bgpd 598 8 tcp4 *:2605 *:*
quagga ospfd 592 7 tcp4 *:2604 *:*
quagga zebra 586 9 tcp4 *:2601 *:*
Alguém sabe se algum serviço desses poderia ser utilizado em ataques ?
o syslogd esta padrão e o quagga está limitado o acesso no vty para somente
ips internos da rede.
Mais detalhes sobre a lista de discussão freebsd