Vazamento de prefixos na mitigação DDoS
Objetivo
Ajudar no troubleshooting de um dos principais problemas relacionados com o não funcionamento de uma Mitigação DDoS, o vazamento dos prefixos /24. Quando se tem contratado uma nuvem de mitigação DDoS, precisamos garantir que o prefixo /24 atacado passe pelo Scrubbing Center da fornecedora de mitigação DDoS. Se o tráfego estiver vazando por outros trânsitos IP, IX, etc ou se o prefixo IP não tiver sendo devidamente anunciado, sua mitigação falhará e o ataque poderá vir por outros caminhos. Embora existam ataques em IPv6, o IPv4 ainda é o principal alvo dos ataques DDoS e por isso esse artigo está focado no IPv4. Provedores que já utilizam IPv6 se beneficiam de menor consumo de clean pipe, diminuição de efeitos colaterais causados pela mitigação e economia em CGNAT.
A maneira mais simples de checarmos os vazamos de prefixos /24, é usando os diversos Looking Glass que encontramos pela Internet. Neles podemos ver se os prefixos estão realmente passando por onde devem. Pensando em ajudar nessa tarefa criei um script em python que checa em alguns Looking Glass, como está o anúncio do prefixo e te avisar onde está o problema. O script é simples, não é tão performático porque os sistemas que são consultados também não são rápidos, mas acredito que deve ajudar mesmo assim ou até mesmo servir como prova de conceito para quem está estudando Redes.
O script lgview.py
Para utilizar o script você precisará do módulo netmiko instalado. Esse módulo te permite fazer conexões, via python, em diversos tipos de devices. Como utilizaremos o Debian aqui, é bem simples de instalar:
# apt install python3-netmiko
Instalado o netmiko basta pegar o script no Github em https://github.com/gondimcodes/lgview. Este script é a primeira versão, pode conter bugs mas sinta-se convidado a ajudar a melhorá-lo.
Para executar é bem simples, passe como parâmetros: o prefixo IPv4 /24 que quer fazer a busca, o ASN da empresa mitigadora e o ASN do seu prefixo. Abaixo um exemplo de chamada:
# ./lgview.py 198.51.100.0/24 65200 65001
As linhas em vermelho merecem sua atenção porque indicam um provável vazamento do prefixo. Em algumas situações pode não ser um vazamento, mas precisa ser checado. Precisamos garantir que o prefixo /24 atacado, esteja passando pela nuvem de mitigação DDoS.
Conclusão
Espero que além de útil, o artigo possa ter passado o quão é importante essa validação.
Essa documentação foi útil? Compartilhe, divulgue e ajude outras pessoas.
Autor: Marcelo Gondim