CCR 1036 DoS ed analisi

[bsd3000]

Ciao ragazzi

ieri abbiamo avuto qualche problema sui ccr 1036 che fanno da border router a causa di un Dos
verso un nostro server.

i ccr stavano collassando...

La soluzione che abbiamo adottato e' stata quella chiamare gli upstream e chiedere di mandare in blackhole
quel traffico

Abbiamo fatto la medesima cosa sui nostri ccr (blackhole)

Ci abbiamo pero' messo un po di tempo a capire quale era il server bersagliato e da dove
(visto che nei primi momenti, c'erano perdite di pacchetti causa troppa cpu dei router)

Voi come analizzate questo tipo di attacchi e come li gestite ma soprattutto come li monitorate)

Grazie di eventuali hint

[uniconnect]

Ciao, è capitato anche a me circa due anni orsono...
personalmente non ho studiato nessun valido modo per monitorare la cosa, mi limito infatti a vedere periodicamente i valori di CPU ed i log (numero di pacchetti ricevuti/fermati da alcune regole del firewall entro unoi specifico lasso temporale) ... per quanto riguarda la prevenzione ho inserito una regola nel firewall che nel caso un IP stabilisca "troppe" connessioni verso la ccr (ICMP ed altro) viene "marcato" ed inserito in una "blacklist", la quale sarà semplicemente "droppata" da una seconda regola del firewall ... (diciamo la classica soluzione che si adotta per limitare gli attacchi verso i centralini PBX) inizialmente avevo fatto anche uno script che "resettava" la blacklist dopo un periodo di 7gg. ma ho notato che non è di grossa utilità ...

Come bsd3000 anche io rimango in attesa di eventuali suggerimenti

Ciao a tutti.

[uniconnect]

... dimenticavo: nelle ultime versioni firmware la funzione di "reset" è già presente senza dover scrivere lo sript ... inoltre è possibile anche aggiungere delle regole per il "SYN filtering" ma io le ho dovute disabilitare perchè mi davano noia con i cookies!!! ... dovrei rivederle meglio ma al momanto non ne ho voglia ... magari più in la' ... per ora funziona tutto benino così ...

Buona giornata.

A.