[FUG-BR] Ataque DDoS - Serviços expostos
Patrick Müller
patrickmuller18 em gmail.com
Domingo Agosto 9 10:52:17 BRT 2015
Se seu syslog está aberto para acesso de qualquer lugar, pode ser q o
ataque esteja sendo direcionado a ele, mas mesmo que ele não seja o alvo do
ataque não é bom deixar um serviço exposto desnecessariamente, ainda mais
udp. Se vc não precisa que ele seja acessível, faça um regra de firewall ou
insira no seu rc.conf a seguinte opção syslogd_flags="-ss" para desabilitar
o socket.
Quais ferramentas vc está usando para verificar e monitorar esse ataque?
Abraço
2015-08-08 16:22 GMT-03:00 Fabiano Ribeiro <
fabiano.ribeiro em gerenciatec.com.br>:
> Fala Pessoal,
>
> Estou tendo um ataque aqui de DDoS baseado em amplificação de DNS que a
> princípio estava acontecendo no .1 do primeiro prefixo ipv4 /22 que tenho
> do meu AS, até aí tudo bem joguei esse ip para blackhole, porém quando
> parei o primeiro começou a acontecer também para o .1 do segundo prefixo
> /22 que tenho do meu ASN.
> Estou considerando que deve ser alguém que fez ataque para esses ips dos
> meus prefixos, porém o curioso é que esses dois ips estão associados em
> interfaces no freebsd de borda. Por isso pensei que poderia ser uma
> resposta por estar exposto algum serviço que possa ser utilizado em ataque
> de ddos.
>
> $ sockstat -4 -l
> USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
> root sshd 1052 5 tcp4 *:2200 *:*
> root syslogd 864 7 udp4 *:514 *:*
> quagga bgpd 598 7 tcp4 *:179 *:*
> quagga bgpd 598 8 tcp4 *:2605 *:*
> quagga ospfd 592 7 tcp4 *:2604 *:*
> quagga zebra 586 9 tcp4 *:2601 *:*
>
> Alguém sabe se algum serviço desses poderia ser utilizado em ataques ?
> o syslogd esta padrão e o quagga está limitado o acesso no vty para somente
> ips internos da rede.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Mais detalhes sobre a lista de discussão freebsd