Este é o termo utilizado para um ip externo que é alvo de ataques, principalmente DDoS (layer7), e que foi designado para uma máquina virtual recém criada, principalmente as que são providas por provedores como a Digital Ocean, e que acabam sendo afetadas de tabela.

A explicação é a seguinte:

Uma empresa X era vítima de ataques, onde os “crackers” utilizavam o endereço ip, ao invés da URL, para executar seus ataques DDoS. A empresa sabendo disso, solicitou a troca do ip, a coisa mais simples a se fazer, ou ela criou um snapshot da máquina, e a partir dele gerou uma outra, com um ip diferente.

Problema resolvido, para ela. Mas o ip fica lá, voando na digital ocean e esperando uma nova máquina para ser associado.

Daí, você, todo feliz e pimpão, solicita a criação de uma máquina novinha em folha, e de presente, recebe este ip lixo.

Resultado:

Em poucos minutos um ataque DDoS Layer 7, dos seus mais de 170mbps, é disparado contra você, já que o seu Varnish estava respondendo na porta HTTP (TCP 80).

O que a digital ocean, ainda o provedor em questão, faz ?

Envia um e-mail para vc informando que o tráfego de rede, via internet, foi interrompido para o seu server por um período de 3horas.  Lindo não mesmo ?!?!

O pior é que isso não adianta de nada, pois em algum momento o ataque retornará e o seu provedor cortará o acesso novamente.

Para resolver, e de uma vez por todas, este problema, vc terá que solicitar a troca do ip lixo ou executar o procedimento de recriação da máquina, pegando assim um novo endereço ip.

Algumas informações interessantes para aqueles que utilizam a digital ocean, como eu:

1 – não importa que vc tenha configurado o fail2ban em seu server e que o iptables esteja dando reject nos fdps, o tráfego chega mesmo assim na interface de rede, e como tudo é virtualizado em provedores como a Digital Ocean, a sua máquina terá a interface de rede virtual desligada ou o tráfego bloqueado, isso porque outros clientes não podem ser afetados por este ataque. Ora bolas, uma interface de rede giga em empresas de IaaS comumente suportam mais de 100 máquinas virtuais simultaneamente. Sério, viu..

2 – saibam que chineses, iraquianos e russos começam ataques de bruteforce, junto ao SSH, uns 5 minutos depois do seu server estar no ar. Por isso que hardening nunca é demais..

3 –  caso vc esteja pensando em utilizar a digital ocean para um projeto importante e precise subir um server asap, o conselho é que vc deixo-o lá, no ar, com os serviços básicos, como http, rodando e vc fique monitorando pelas próximas 8 horas. Caso tudo esteja bem, daí sim vc o virá para prod, como falamos, de uma vez por todas, instalando tudo que vc precisar para completar esta tarefa.

P.S.: Não passo por este perrengue na Amazon Aws, mas não coloco o blog lá pq a conta no final do mês sairá bem alta.

P.S.S.: sabe o que é mais engraçado nisso tudo ? descobrir que a sua internet de fibra da vivo, 200/mbps, pode desligar qualquer máquina que esteja rodando na Digital Ocean…