Ataques ddos

Ataques ddos

Buenas tardes, tan solo quería saber a quien tengo que dirigirme para dar solución a los ataques ddos que estoy teniendo desde hace 2 semanas.  Hemos abierto incidencias, lo habéis revisado y está todo bien, he comprado un FW Microtik para evitar los ataques, pero al ser un botnet satura la línea por completo y la reinicia.  Adjunto muestra de logs:

 

Sep/26/2019 16:47:54 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 3), 190.60.92.78->83.36.34.192, len 56
Sep/26/2019 16:47:54 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 3), 190.60.92.78->83.36.34.192, len 56
Sep/26/2019 16:47:55 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 3), 113.176.82.194->83.36.34.192, len 113
Sep/26/2019 16:47:55 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 3), 203.97.69.1->83.36.34.192, len 56
Sep/26/2019 16:47:55 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 3), 200.13.173.113->83.36.34.192, len 113
Sep/26/2019 16:47:55 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 11, code 0), 159.192.14.45->83.36.34.192, len 96
Sep/26/2019 16:47:55 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 11, code 0), 159.192.14.45->83.36.34.192, len 96
Sep/26/2019 16:47:55 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 1), 96.1.221.22->83.36.34.192, len 113
Sep/26/2019 16:47:55 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 3), 113.176.82.194->83.36.34.192, len 113
Sep/26/2019 16:47:55 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 3), 200.13.174.209->83.36.34.192, len 113
Sep/26/2019 16:47:55 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 3), 200.13.173.113->83.36.34.192, len 113
Sep/26/2019 16:47:56 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 11, code 0), 1.213.70.66->83.36.34.192, len 56
Sep/26/2019 16:47:56 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 11, code 0), 159.192.14.45->83.36.34.192, len 96
Sep/26/2019 16:47:56 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 3), 200.13.173.113->83.36.34.192, len 113
Sep/26/2019 16:47:56 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 3), 203.97.69.1->83.36.34.192, len 56
Sep/26/2019 16:47:56 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 3), 113.176.82.194->83.36.34.192, len 113
Sep/26/2019 16:47:57 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 3), 200.13.173.113->83.36.34.192, len 113
Sep/26/2019 16:47:57 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 11, code 0), 113.171.17.230->83.36.34.192, len 56
Sep/26/2019 16:47:57 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 3), 113.176.82.194->83.36.34.192, len 113
Sep/26/2019 16:47:57 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 11, code 0), 113.171.17.230->83.36.34.192, len 56
Sep/26/2019 16:47:57 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 11, code 0), 1.213.70.66->83.36.34.192, len 56
Sep/26/2019 16:47:57 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 11, code 0), 159.192.14.45->83.36.34.192, len 96
Sep/26/2019 16:48:22 pppoe,ppp,info pppoe-out1: terminating... - peer is not responding
Sep/26/2019 16:48:22 pppoe,ppp,info pppoe-out1: disconnected
Sep/26/2019 16:48:22 pppoe,ppp,info pppoe-out1: initializing...
Sep/26/2019 16:48:22 pppoe,ppp,info pppoe-out1: connecting...
Sep/26/2019 16:48:22 pppoe,ppp,info pppoe-out1: authenticated
Sep/26/2019 16:48:22 pppoe,ppp,info pppoe-out1: connected
Sep/26/2019 16:54:41 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:42 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:43 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:44 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:45 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:46 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:47 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:48 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:49 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:50 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:53 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:54 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:55 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:56 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:57 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:58 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:54:59 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:55:00 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.196, len 60
Sep/26/2019 16:55:00 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 3), 213.235.61.170->83.36.34.196, len 56
Sep/26/2019 16:55:00 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 13), 201.143.18.210->83.36.34.196, len 56
Sep/26/2019 16:55:00 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 3, code 3), 202.107.202.54->83.36.34.196, len 113
Sep/26/2019 16:56:24 pppoe,ppp,info pppoe-out1: terminating... - peer is not responding
Sep/26/2019 16:56:24 pppoe,ppp,info pppoe-out1: disconnected
Sep/26/2019 16:56:24 pppoe,ppp,info pppoe-out1: initializing...
Sep/26/2019 16:56:24 pppoe,ppp,info pppoe-out1: connecting...
Sep/26/2019 16:56:28 pppoe,ppp,info pppoe-out1: authenticated
Sep/26/2019 16:56:28 pppoe,ppp,info pppoe-out1: connected
Sep/26/2019 17:03:25 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.197, len 60
Sep/26/2019 17:03:26 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.197, len 60
Sep/26/2019 17:03:27 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.197, len 60
Sep/26/2019 17:03:30 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.197, len 60
Sep/26/2019 17:03:31 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.197, len 60
Sep/26/2019 17:03:32 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.197, len 60
Sep/26/2019 17:03:33 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.197, len 60
Sep/26/2019 17:03:34 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.197, len 60
Sep/26/2019 17:03:35 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.197, len 60
Sep/26/2019 17:03:36 firewall,info Drop_BlackHole_ input: in:pppoe-out1 out:(unknown 0), src-mac 54:e0:32:74:32:94, proto ICMP (type 8, code 0), 188.246.233.243->83.36.34.197, len 60

 

Quedo a la espera

 

 

 

Etiquetas (1)
Mensaje 1 de 8
292 Visitas
7 RESPUESTAS 7
Re: Ataques ddos

Buenas @profyden 

 

Quitando servicios/proveedores con nombres y apellidos, nadie envía una botnet contra cualquiera (no te ofendas en absoluto, entiende lo que quiero decir con "cualquiera), y los que son susceptibles de ser atacados tienen equipos obviamente suficientemente sofisticados y configurados para evitarlos en la medida de lo posible.No confundamos un ataque DDOS con ruido de fondo habitual.

 

Cualquier equipo conectado a Inet, te aseguro que está siendo bombardeado constantemente con "ruido de fondo", bots buscando servicios/equipos vulnerables, malware intentando infectar, curiosos... a modo de curiosidad, para que te hagas una idea, suelo tener al día cientos (sino miles) de intentos de conexiones/asaltos en RDP o PPTP, y da igual que tenga una IP estática o dinámica, es suficiente con obtener otra que al cabo de unas horas se repite. Y eso es monitorización solo de 2 puertos 🙂

 

Si tienes IP dinámica, al reiniciar sería suficiente para tener otra IP, con lo que cualquier posible ataque cesaría, si realmente es un ataque con objetivo concreto. Un DDOS real hablamos de miles o cientos de miles de conexiones por segundo!!

 

Por último, en tu caso, todo lo que se aprecia es tráfico ICMP, lo único que tendrías que hacer es bloquear el tráfico ICMP y listo, que por defecto creo que está habilitado en los equipos de Movistar


Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 2 de 8
261 Visitas
Re: Ataques ddos

Hola @profyden !

 

Ante la incidencia que presentas y la información facilitada por @Theliel ( gracias por tu participación ) ¿ has podido realizar las pruebas  y comprobaciones que te indica ?

 

Gracias, un saludo, Mar.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 3 de 8
251 Visitas
Re: Ataques ddos

Ese log es solo un fragmento, los ataques son por ICMP y UDP.  Esos ataques los he recibido con IP fija (dada de baja) y ahora dinámica y la duración ha sido durante horas.  Estos ataques los estamos sufriendo varios amigos de una comunidad de un juego y en nuestro caso llevamos tres semanas sin parar.  Respecto

 

Respecto a lo que propone theliel ya lo probamos y aun asi nos tumban el router.

Mensaje 4 de 8
238 Visitas
Highlighted
Re: Ataques ddos

Buenas @profyden 

 

Que router tenéis?? sigo diciendo que dudo enormemente que haya una confabulación contra un grupo de amigos que jueguen en cualquier plataforma al nivel que sea, más que nada repito porque, para tumbar un Router aunque sea doméstico, es necesario bombardearlo y mucho, y eso sin contar el despliegue técnico que se requiere para controlar una botnet!! Sinceramente, dudo enormemente que nadie que pueda controlar una botnet decente se dedique a tirar conexiones domésticas que juegan a X. Por otro lado, usar los paquetes ICMP que estaban llegando de forma predominante para hacer un DDOS es altamente ineficiente, pudiendo realizar ataques reflejados y de amplificación

 

Dicho todo ello, no pongo en duda que se pueda estar recibiendo más o menos tráfico, habría que ver a que es debido. Soy  mucho más partidario a pensar que sea un posible fallo en los propios servidores del juego si usa infraestructura P2P, o un bug/malware colado en el cliente o alguna cosa así. Piensa lo que te estoy diciendo un segundo... ¿vas a coordinar una botnet para tirarte la conexión de un juego? Obviamente no.

 

En cualquier caso no hay mucho que puedas hacer, si entiendes de redes no sería nada complicado crear diferentes filtros para descartar el tráfico no deseado, incluso enviarlo a un punto muerto. Si tienes sospechas de alguien, denunciarlo, o en todo caso, hablar con sus ISP del abuso de sus redes.


Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 5 de 8
211 Visitas
Re: Ataques ddos

Hola @profyden !

 

Con la última información que te ha facilitado @Theliel ( gracias nuevamente por tu aportación ) ¿ has podido revisar el tráfico y contactar con los servidores del juego ?

 

Gracias, un saludo, Mar.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 6 de 8
167 Visitas
Re: Ataques ddos

Hola @profyden !

 

No hemos vuelto a tener noticias tuyas.

 

¿ Has podido realizar las comprobaciones directamente con el servidor ?

 

Gracias, un saludo, Mar.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 7 de 8
137 Visitas
Re: Ataques ddos

Hola @profyden !

 

al no tener más noticias por tu parte esperamos que hayas podido resolver tu incidencia de alguna forma.

 

Vamos a cerrar este hilo pero recuerda que puedes ponerte en contacto con la Comunidad Movistar siempre que lo necesites.

 

Un saludo,

 

Víctor    



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 8 de 8
104 Visitas