[GTER] DoS

[Julio Arruda]

André M. wrote:
>>> UDP porta 5060 quem utiliza ? o protocolo SIP.
>>> Existem algum ativo que contenha SIP na sua rede?
>> Sim.
> 
> Então de duas uma, ou é alguem da sua empresa utilizando um peer externo, ou
> tem alguem utilizando ou tentando utilizar seu SIP ou ate mesmo só tentando
> um DoS em seu SIP.

Andre

O email original, com o titulo "DoS", e mencao de que alguem esta 
mandando x requests por segundo contra o 5060 no SIP server do cliente 
deles, me levaria a crer que que o Thiago nao tem duvidas quanto a isto.

Quanto a mitigacoes, Thiago, novamente ficam as opcoes:
1- ACL na borda do provedor
2- se os requests vem de fora, e seu cliente pode sobreviver sem isto 
(so tem clientes no chegando via peer domestico por exemplo), voce 
poderia ver se o upstream tem opcao de injetar (receber de voce) um 
blackhole via RTBH, somente para trafego internacional.
3- tentar rastrear nos upstreams, e notificar para a origem do trafego 
(desculpe, nao consigo escrever isto sem comecar a rir), na China, para 
eles bloquearem.. (se nao for spoofed tambem...)


> --
> gter list    https://eng.registro.br/mailman/listinfo/gter