DOS e Ping da Morte

Assunto: DOS e Ping da Morte Seg Jun 24, 2013 4:16 pm

Olá pessoal.

Estou com um problema complicado aqui, pelo menos para mim é complicado, pois sou novato.

Estou trabalhando em uma empresa que utiliza um link dedicado de 2mb da Embratel, e temos um antigo roteador Cisco 1601.

Faz alguns dias que a conexão com a internet começou a ficar extremamente lenta, e em alguns momentos impossibilita a navegação.

Olhando o Firewall percebi que existem muitas solicitações por segundo de ICMP para o endereço de entrada do roteador, vindas de um endereço externo.

Desconfiei que alguma maquina interna pudesse estar com vírus, e para testar, desconectei o cabo de rede que liga o roteador no servidor de internet e conectei diretamente em uma outra maquina que não estava na rede, dessa forma nenhuma maquina da rede estava se comunicando com a internet, mas o ping continuava atingindo meu roteador.

Creio que deve ser alguém utilizando ping da morte. Eu descobri quais são os Ips que estão mandando o ping para o router. Alguém sabe como posso bloquear esses IPs diretamente no roteador?

Já criei um bloqueio na minha maquina de firewall (BRMA), porém como o ICMP é destinado para o roteador que está antes da maquina de Firewall não resolveu.

Agradeço a todos desde já pela ajuda, e me desculpe qualquer ignorância, pois é a primeira vez que lido com roteadores Cisco. Rolling Eyes

Assunto: Creio que isso resolva Ter Jun 25, 2013 9:42 am

access-list 101 deny icmp host endereco ip que quer bloquear any
access-list 101 permit ip any any

Assunto: Re: DOS e Ping da Morte Qua Jun 26, 2013 10:16 pm

Daniel,

Em um cenário normal acredito que pode até ser valido efetuar este bloqueio no roteador, mas notei em sua topologia você utiliza um roteador muito antigo Cisco 1601, o processamento pode ficar muito alto ao aplicar a ACL.

O que normalmente é feito, caso estes IPs ofensores seja constante, o mais indicado é a operadora efetuar o bloqueio, assim não consome cpu de seus elementos nem banda.

Sds,
Marcelo Guerra

Assunto: Re: DOS e Ping da Morte Qui Jun 27, 2013 7:46 am

Obrigado pela ajuda pessoal.

lepokoloko, quando digito esses comandos no roteador, ele fala que não existe a palavra list, do "access-list", existe apenas "access-enable, access-profile e access-template", e qualquer um desses que eu colocar ele não reconhece a palava "ICMP", creio que por ser um modelo bem antigo deve ter alguma diferença de linguagem.

MarcelosGuerra, irei fazer isso mesmo. No começo do mês passado ficamos 2 dias sem internet, com um problema similar, e realmente foi a Embratel que conseguiu resolver, bloqueando os endereços de IP ofensores. Porem tenho medo de bloquear a faixa de ip que está nos atacando, pois abrange todo o range na faixa 74.125.234.*, fico receoso que o bloqueio posso nos impossibilitar de navegar em alguns sites específicos, ou acessar algum serviço na web. Mas estou vendo que não terei outra opção, a internet está cada vez mais lenta, e serviços como NFE estão reportando muito erro de timeout, pois a banda está muito sobrecarregada.

Agradeço a ajuda, tentarei fazer o bloqueio e posto aqui o resultado depois.

Assunto: Tenta isto Qui Jun 27, 2013 9:27 am

Router>enable
Router#
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
Router(config)#access-list ? //coloca interrogação e fala quais exemplos aparecem. no meu aparece
" Router(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list "
.

Assunto: Firewall Ter Ago 20, 2013 11:59 am

Cara, eu não entendi porque vc não bloqueou no seu firewall.
Vc não consegue bloquear essas origens na porta de ICMP?^

Desse jeito não vai atingir seu router e vc ainda tem um certo controle pois a maquina é de sua gerencia.

Abraços.

» TCL Script - Desabilitar interface E1 caso ping falhe