Já ouviu falar em ip lixo ou contaminado do IaaS ?

Tags: , , , , ,

Este é o termo utilizado para um ip externo que é alvo de ataques, principalmente DDoS (layer7), e que foi designado para uma máquina virtual recém criada, principalmente as que são providas por provedores como a Digital Ocean, e que acabam sendo afetadas de tabela.

A explicação é a seguinte:

Uma empresa X era vítima de ataques, onde os “crackers” utilizavam o endereço ip, ao invés da URL, para executar seus ataques DDoS. A empresa sabendo disso, solicitou a troca do ip, a coisa mais simples a se fazer, ou ela criou um snapshot da máquina, e a partir dele gerou uma outra, com um ip diferente.

Problema resolvido, para ela. Mas o ip fica lá, voando na digital ocean e esperando uma nova máquina para ser associado.

Daí, você, todo feliz e pimpão, solicita a criação de uma máquina novinha em folha, e de presente, recebe este ip lixo.

Resultado:

Em poucos minutos um ataque DDoS Layer 7, dos seus mais de 170mbps, é disparado contra você, já que o seu Varnish estava respondendo na porta HTTP (TCP 80).

O que a digital ocean, ainda o provedor em questão, faz ?

Envia um e-mail para vc informando que o tráfego de rede, via internet, foi interrompido para o seu server por um período de 3horas.  Lindo não mesmo ?!?!

O pior é que isso não adianta de nada, pois em algum momento o ataque retornará e o seu provedor cortará o acesso novamente.

Para resolver, e de uma vez por todas, este problema, vc terá que solicitar a troca do ip lixo ou executar o procedimento de recriação da máquina, pegando assim um novo endereço ip.

Algumas informações interessantes para aqueles que utilizam a digital ocean, como eu:

1 – não importa que vc tenha configurado o fail2ban em seu server e que o iptables esteja dando reject nos fdps, o tráfego chega mesmo assim na interface de rede, e como tudo é virtualizado em provedores como a Digital Ocean, a sua máquina terá a interface de rede virtual desligada ou o tráfego bloqueado, isso porque outros clientes não podem ser afetados por este ataque. Ora bolas, uma interface de rede giga em empresas de IaaS comumente suportam mais de 100 máquinas virtuais simultaneamente. Sério, viu..

2 – saibam que chineses, iraquianos e russos começam ataques de bruteforce, junto ao SSH, uns 5 minutos depois do seu server estar no ar. Por isso que hardening nunca é demais..

3 –  caso vc esteja pensando em utilizar a digital ocean para um projeto importante e precise subir um server asap, o conselho é que vc deixo-o lá, no ar, com os serviços básicos, como http, rodando e vc fique monitorando pelas próximas 8 horas. Caso tudo esteja bem, daí sim vc o virá para prod, como falamos, de uma vez por todas, instalando tudo que vc precisar para completar esta tarefa.

P.S.: Não passo por este perrengue na Amazon Aws, mas não coloco o blog lá pq a conta no final do mês sairá bem alta.

P.S.S.: sabe o que é mais engraçado nisso tudo ? descobrir que a sua internet de fibra da vivo, 200/mbps, pode desligar qualquer máquina que esteja rodando na Digital Ocean…

VEJA TAMBÉM

Google fora do ar, de novo, mas o Chrome também Já começo a escrever este post pedindo ajuda aos críticos de plantão. Parece que diversos serviços da Google estão passando por problemas. Eles estão com uma certa instabilidade, e não só para o Br...
Depois que o Google foi criado, até a minha avó sabe hackear um computador. O título deste post não é um exagero e sim um fato, depois que o Google foi criado e conseguiu indexar quase toda a Internet(existem coisas que o Google não consegue fazer, por incrível que pareça), a...
SANS660 – Arquivo corrigido O leitor Fred enviou um link dos pdfs do curso da SANS, o 660, com uma qualidade muito melhor e um tamanho bem menor. Eu simplesmente os consolidei em um único arquivo. O sans660_unificado.pdf doi ...
COMPARTILHE ESTE ARTIGO

COMENTÁRIOS

3 comentários em “Já ouviu falar em ip lixo ou contaminado do IaaS ?

  1. Daniel

    Um detalhe bobo.
    PS significa post scriptum, então, se você for colocar 2 pses, chame o segundo P. P. S, o terceiro de P. P. P. S, e assim por diante.
    Grande abraço

  2. Thiago

    Gustavo,

    A Digital Ocean não trata isso via BGP? Pois como você disse por mais que você tenha filtros/bloqueios/etc, o tráfego vai chegar até a interface, mas se a Digital Ocean identificar e em seu upstream (eles possuem ASN certo?) ele anunciar esse IP para um blackhole o ataque deverá cessar, ainda que o IP fique inutilizavel até que seja “prudente” removê-lo do anúncio do blackhole.

    Sofria alguns DDoS para um servidor de minecraft que entupiam alguns pontos da rede de um provedor, que só era mitigado anunciando o bendito IP em uma sessão de blackhole que tinhamos com nossos upstreams.

    Abraços!

DEIXAR UM COMENTÁRIO

MENU