Fala Pessoal, Estou tendo um ataque aqui de DDoS baseado em amplificação de DNS que a princípio estava acontecendo no .1 do primeiro prefixo ipv4 /22 que tenho do meu AS, até aí tudo bem joguei esse ip para blackhole, porém quando parei o primeiro começou a acontecer também para o .1 do segundo prefixo /22 que tenho do meu ASN. Estou considerando que deve ser alguém que fez ataque para esses ips dos meus prefixos, porém o curioso é que esses dois ips estão associados em interfaces no freebsd de borda. Por isso pensei que poderia ser uma resposta por estar exposto algum serviço que possa ser utilizado em ataque de ddos.
$ sockstat -4 -l USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS root sshd 1052 5 tcp4 *:2200 *:* root syslogd 864 7 udp4 *:514 *:* quagga bgpd 598 7 tcp4 *:179 *:* quagga bgpd 598 8 tcp4 *:2605 *:* quagga ospfd 592 7 tcp4 *:2604 *:* quagga zebra 586 9 tcp4 *:2601 *:* Alguém sabe se algum serviço desses poderia ser utilizado em ataques ? o syslogd esta padrão e o quagga está limitado o acesso no vty para somente ips internos da rede. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd