Ataque DOS

Joao_RS

New Member
Registrado
olá, pessoal.

Estou com um grave "problema".

Tudo começou quando uma pessoa estava incomodando em meu servidor de teamspeak 3. (era alguem aleatório, que entrava pra floodar e incomodar). até que eu bani esse cara.

Uns 2 minutos depois todo mundo caiu do servidor, foi ai que eu percebi que a minha internet tinha caido, então abri o gerenciador de tarefas do servidor e vi que minha conexão estava sendo totalmente sugada de alguma forma, eu tenho 100 mega contratado e tava um uso continuo de 100-105 mega de download na placa de rede (upload não estava sendo usado.)

Abri o Firewall (GlassWire) e o monitor de recursos do windows, nenhum dos dois acusava algum IP trafegando dados. era como se estivesse tudo normal (mesmo com um tráfego misterioso de 100mb continuamente)

Fechei o app do servidor, e nada do ataque parar., fui no roteador e removi o ip do servidor da DMZ dele, nessa hora o windows parou de acusar tráfego, mas a conexão continuou sem funcionar.

Ativei novamente a DMZ e o tráfego voltou.

Fiquei olhando, com muita raiva, até que alguns minutos depois (uns 5) o tráfego parou e a internet voltou.

Bom, iniciei o servidor novamente e um tempo depois aconteceu a MESMA COISA!.

Eu não sei o que fazer, até por que tenho um IP Fixo que o provedor me "cedeu", então não posso ligar pra eles e pedir pra trocar de ip , já que não contratei ele "oficialmente" (tb acho que não adiantaria muita coisa trocar se o servidor aparece em uma lista né).

Eu também não consigo saber a origem do ataque, pois como eu disse, não consta no firewall e nem em lugar nenhum.

Queria muito a ajuda de alguém mais experiente para me dizer como é possivel um cara me enviar durante uns 10 minutos um ataque de 100mbps e isso não aparecer em lugar nenhum...

como posso me proteger ? agora eu percebi como estou vulnerável. mesmo fechando o servidor e removendo o ip dele da DMZ do roteador eu continuo sem conexão e isso me deixa MUITO intrigado.

a estrutura de rede aqui é assim:
ONU Do Provedor com IP 192.168.1.1 e DMZ apontando para 192.168.1.50 (eu não tenho a senha dessa ONU) ---> Roteador TP-Link com IP WAN 192.168.1.50 com DMZ apontando para 192.168.0.100 ---> PC Servidor com ip 192.168.0.100.
 

neo666

¯\(ツ)/¯
Moderador
Não conheço a fundo o TS mas é estranho vc não ter conseguido monitorar o tráfego (origem/porta/serviço/etc) pelo Monitor de Recursos do próprio Windows (não confundir com o Gerenciador de Tarefas).

Se as informações dos servidores ficam listadas em uma página pública (?) provavelmente foi apenas coincidência do acontecimento com o usuário em questão, mas esse é apenas um palpite meu.
 

Joao_RS

New Member
Registrado
Não conheço a fundo o TS mas é estranho vc não ter conseguido monitorar o tráfego (origem/porta/serviço/etc) pelo Monitor de Recursos do próprio Windows (não confundir com o Gerenciador de Tarefas).

Se as informações dos servidores ficam listadas em uma página pública (?) provavelmente foi apenas coincidência do acontecimento com o usuário em questão, mas esse é apenas um palpite meu.
pois é, achei muito estranho, mas foi isso mesmo. enquanto tava recebendo 100mbps o monitor de recursos não mostrava nenhuma conexão usando banda, aparecia "200kbps de E/S de rede" , mas no gerenciador tava lá mostrando tudo aquilo.

eu dei uma pesquisada no google e achei um tal de "UDP Amplification attack" e me pareceu bem semelhante com o que aconteceu aqui, mas não sei se realmente foi isso.

vc já ouviu falar neste tipo de ataque?
 

0NO1D

Nobody
Registrado
Ataque DoS para "derrubar" um servidor (atualmente)? Você não "derruba" (ou nuk) um servidor (bom) com DOS, você precisaria de DdoS/DrDoS &Spoof.
 

Joao_RS

New Member
Registrado
Ataque DoS para "derrubar" um servidor (atualmente)? Você não "derruba" (ou nuk) um servidor (bom) com DOS, você precisaria de DdoS/DrDoS &Spoof.
Aí que tá, meu servidor não é "bom" kkk

É um servidor doméstico, com meu próprio link de internet, sem proteção contra esses ataques.

Em uns 2 anos que tenho esse servidor nunca aconteceu nada parecido ...
--- Post duplicado mesclado automaticamente: ---

Aí que tá, meu servidor não é "bom" kkk

É um servidor doméstico, com meu próprio link de internet, sem proteção contra esses ataques.

Talvez tenha sido um DDOS, mas como eu disse não tenho como saber a origem já que não aparece no meu firewall...
 

0NO1D

Nobody
Registrado
Aí que tá, meu servidor não é "bom" kkk

É um servidor doméstico, com meu próprio link de internet, sem proteção contra esses ataques.

Em uns 2 anos que tenho esse servidor nunca aconteceu nada parecido ...
--- Post duplicado mesclado automaticamente: ---
Você chegou a analisar o log do router e/ou teamspeak?
 

Joao_RS

New Member
Registrado
Você chegou a analisar o log do router e/ou teamspeak?
Sim! O log do roteador não mostra nada, somente coisas tipo dhcp request, link down, link up e essas coisas, mas nada sobre ataque ou conexões.

O log do teamspeak tbm não mostra nada, mas o ataque não foi ao servidor em si, mas na rede toda (?) Pelo menos é o que parece.

Não tenho a mínima ideia de como isso aconteceu sem deixar log ou aparecer no firewall
 

0NO1D

Nobody
Registrado
Sim! O log do roteador não mostra nada, somente coisas tipo dhcp request, link down, link up e essas coisas, mas nada sobre ataque ou conexões.

O log do teamspeak tbm não mostra nada, mas o ataque não foi ao servidor em si, mas na rede toda (?) Pelo menos é o que parece.

Não tenho a mínima ideia de como isso aconteceu sem deixar log ou aparecer no firewall
O log estava indicando link down e link up no momento do "ataque"? Isso já é um sinal que de fato alguém (algo) estava lhe "atacando", o link não aguentava, assim ele caía e voltava, ficando no loop.
O ataque foi direcionado, isso é certo, quando você citou que alguém entrava para "floodar" já se tem ideia, talvez o script de flood continuou direcionado e com isso deve ter virado "ataque".
 

Joao_RS

New Member
Registrado
O log estava indicando link down e link up no momento do "ataque"? Isso já é um sinal que de fato alguém (algo) estava lhe "atacando", o link não aguentava, assim ele caía e voltava, ficando no loop.
O ataque foi direcionado, isso é certo, quando você citou que alguém entrava para "floodar" já se tem ideia, talvez o script de flood continuou direcionado e com isso deve ter virado "ataque".
Bom, a hora do router está desconfigurada, mas ninguém mexeu em nenhum cabo dele e nenhum equipamento foi reiniciado ou desligado, realmente deve ter algo a ver esse link up e link down, aconteceu 4 vezes em 1 minuto.

O flood que ele tava fazendo era entrar no servidor, ficar dando toque em todo mundo, entrando e saindo dos canais, mandando coisas no chat sem parar, mas até então o servidor estava normal, quando eu bani ele, logo em seguida caiu todo mundo e já de cara abri o task manager e vi que tava recebendo muito tráfego.

Pesquisei bastante sobre o assunto e parece que foi um ataque "UDP Flood"

Não mostra log, até por que a conexão não é "estabelecida", o atacante fica enviando solicitações sem parar e gerando tráfego. exatamente o que aconteceu, então tem tudo pra ser esse ataque.

Agora, como se proteger já é outra história... Não achei nada a respeito mas vou pesquisar mais, e aceito qualquer sugestão que você possa me dar, vc parece entendido do assunto...
 

0NO1D

Nobody
Registrado
Bom, a hora do router está desconfigurada, mas ninguém mexeu em nenhum cabo dele e nenhum equipamento foi reiniciado ou desligado, realmente deve ter algo a ver esse link up e link down, aconteceu 4 vezes em 1 minuto.

O flood que ele tava fazendo era entrar no servidor, ficar dando toque em todo mundo, entrando e saindo dos canais, mandando coisas no chat sem parar, mas até então o servidor estava normal, quando eu bani ele, logo em seguida caiu todo mundo e já de cara abri o task manager e vi que tava recebendo muito tráfego.

Pesquisei bastante sobre o assunto e parece que foi um ataque "UDP Flood"

Não mostra log, até por que a conexão não é "estabelecida", o atacante fica enviando solicitações sem parar e gerando tráfego. exatamente o que aconteceu, então tem tudo pra ser esse ataque.

Agora, como se proteger já é outra história... Não achei nada a respeito mas vou pesquisar mais, e aceito qualquer sugestão que você possa me dar, vc parece entendido do assunto...
Então, DDoS/DDroS não é algo que possa ser "parado", você pode implantar várias soluções/ferramentas/configurações, mas, como eu disse, se o ataque for direcionado e bem estruturado, não adiantaria. Por exemplo, muitos sites em black friday ficam um tempo down ou busy.

Se quiser ler sobre:
 

filipemonc

New Member
Registrado
Bom, a hora do router está desconfigurada, mas ninguém mexeu em nenhum cabo dele e nenhum equipamento foi reiniciado ou desligado, realmente deve ter algo a ver esse link up e link down, aconteceu 4 vezes em 1 minuto.

O flood que ele tava fazendo era entrar no servidor, ficar dando toque em todo mundo, entrando e saindo dos canais, mandando coisas no chat sem parar, mas até então o servidor estava normal, quando eu bani ele, logo em seguida caiu todo mundo e já de cara abri o task manager e vi que tava recebendo muito tráfego.

Pesquisei bastante sobre o assunto e parece que foi um ataque "UDP Flood"

Não mostra log, até por que a conexão não é "estabelecida", o atacante fica enviando solicitações sem parar e gerando tráfego. exatamente o que aconteceu, então tem tudo pra ser esse ataque.

Agora, como se proteger já é outra história... Não achei nada a respeito mas vou pesquisar mais, e aceito qualquer sugestão que você possa me dar, vc parece entendido do assunto...
Pelo que você descreveu mais a fundo agora, não parece ter sido o servidor que tenha ficado inoperante com o volume de tráfego, mas sim a sua conexão que abriu o bico. Definitivamente eu não teria um servidor, em especial numa conexão doméstica, sem um firewall decente na borda. Na configuração atual, a sua ONU (que não está em bridge) certamente é o elo mais fraco e abriu o bico, provavelmente o TP-Link (que não é feito pra isso) também.
 

neo666

¯\(ツ)/¯
Moderador
Bom, a hora do router está desconfigurada, mas ninguém mexeu em nenhum cabo dele e nenhum equipamento foi reiniciado ou desligado, realmente deve ter algo a ver esse link up e link down, aconteceu 4 vezes em 1 minuto.

O flood que ele tava fazendo era entrar no servidor, ficar dando toque em todo mundo, entrando e saindo dos canais, mandando coisas no chat sem parar, mas até então o servidor estava normal, quando eu bani ele, logo em seguida caiu todo mundo e já de cara abri o task manager e vi que tava recebendo muito tráfego.

Pesquisei bastante sobre o assunto e parece que foi um ataque "UDP Flood"

Não mostra log, até por que a conexão não é "estabelecida", o atacante fica enviando solicitações sem parar e gerando tráfego. exatamente o que aconteceu, então tem tudo pra ser esse ataque.

Agora, como se proteger já é outra história... Não achei nada a respeito mas vou pesquisar mais, e aceito qualquer sugestão que você possa me dar, vc parece entendido do assunto...
Eu voto com os colegas acima, resolver isso não é algo que dependa apenas de você e também implica em gastos (altos) sem muitas vezes ter 100% de eficácia.

Um roteador mais parrudo poderia ajudar, mas como sua ONU não está em bridge isso limitaria muito as possibilidades de configuração e não faria muita diferença pois provavelmente ela (ONU) ficará sem recursos antes do seu roteador, e se duvidar foi isso que já ocorreu por aí.

Você só percebeu esse comportamento uma vez? Como é algo doméstico/diversão particularmente não vejo motivo para se preocupar demasiadamente com isso, a menos que se torne recorrente.
 

marlonws

New Member
Registrado
Então, já passei por isso com um link 100 / 50 de com ip fixo.

É um ataque, mas o modem e a placa de rede do windows eles ficam sobrecarregados e somem com tudo (logs).

Unica forma é deixar a ONT em Bridge e colocar um roteador parrudo 800RS+, mas mesmo assim dependendo da quantidade de solicitações o roteador não pode dar conta é nessas horas que entra uma firewall fisico.

Segredo ONT Bridge + Firewall Dedicado (Vai ser uns 2k minimo em um modelinho básico ai pra uso domesticos) + Roteador.

É o meu plano que tenho futuramente, um fortigate ou pfsense, assim vai.
 

Usuários que estão vendo esse Tópico (Users: 0, Guests: 1)

Topo