Estamos tendo uma inundação de ICMP de 3-4Gbps em um de nossos servidores e eu me pergunto. Eu tenho 20gbps de proteção contra DDoS, mas o proetction parece ineficaz contra o ICMP (funcionou bem para bloquear uma tonelada de TCP e UDP ataques no passado, mas falha no ICMP à medida que temos tempo de inatividade).
Aqui está uma amostra do tráfego postado pela detecção de DDoS: link
O fato é que não posso saber que tipo de pacotes ICMP são esses.
1- É possível fazer um ataque desse tipo com o tipo ECMPs ICMP (pacotes ping), ou existem outros tipos de pacotes ICMP que podem ser usados para esse tipo de ataque? Porque eu não me vejo sendo capaz de refletir pacotes ICMP, exceto com solicitações de eco.
2- Sei que o ICMP é recomendado para ser desbloqueado para algumas coisas como MTU, então que tipo de pacotes ICMP devo evitar ou limitar o limite (no caso de alguns serem essenciais para operações rápidas de rede)?
3- No momento, pedi que o ICMP fosse completamente rejeitado (idéia ruim que eu conheço, mas precisava de uma solução rápida e funcionou) no roteador central do datacenter. A ACL é
0: deny icmp any 104.x.x.x/29
1: permit ip any any
Haveria uma maneira melhor de bloquear esse tipo de ataque? Você acha que apenas o bloqueio de solicitações de eco ICMP permitiria eliminar os efeitos do ataque?
Em suma, estou tentando criar uma ACL que filtre potencialmente pacotes ICMP perigosos sem ter que se livrar completamente dela.
Obrigado