[GTER] Melhores Práticas em Ataques DOS/DDOS

Rafael Cresci cresci at gmail.com
Sun Aug 12 18:16:19 -03 2012 

Basta entrar em contato com os brasileiros donos destes IPs tb:

rafael$ whois 63.143.40.194
#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 63.143.40.194"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=63.143.40.194?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       63.143.32.0 - 63.143.63.255
CIDR:           63.143.32.0/19
OriginAS:       AS46475
NetName:        LSN-DLLSTX-8
NetHandle:      NET-63-143-32-0-1
Parent:         NET-63-0-0-0-0
NetType:        Direct Allocation
Comment:        http://limestonenetworks.com/
RegDate:        2011-10-27
Updated:        2012-02-24
Ref:            http://whois.arin.net/rest/net/NET-63-143-32-0-1

OrgName:        Limestone Networks, Inc.
OrgId:          LIMES-2
Address:        400 S. Akard Street
Address:        Suite 200
City:           Dallas
StateProv:      TX
PostalCode:     75202
Country:        US
RegDate:        2007-12-04
Updated:        2010-01-26
Comment:        http://limestonenetworks.com/
Ref:            http://whois.arin.net/rest/org/LIMES-2

ReferralServer: rwhois://rwhois.limestonenetworks.com:4321

OrgTechHandle: NOC2791-ARIN
OrgTechName:   Network Operations Center
OrgTechPhone:  +1-214-242-3600
OrgTechEmail:  noc at limestonenetworks.com
OrgTechRef:    http://whois.arin.net/rest/poc/NOC2791-ARIN

OrgAbuseHandle: ABUSE1804-ARIN
OrgAbuseName:   Abuse
OrgAbusePhone:  +1-214-586-0555
OrgAbuseEmail:  abuse at limestonenetworks.com
OrgAbuseRef:    http://whois.arin.net/rest/poc/ABUSE1804-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

Rafaels-MacBook-Air:~ rafael$ whois -h rwhois.limestonenetworks.com -p4321 63.143.40.194
%rwhois V-1.5:003fff:00 rwhois.limestonenetworks.com (by Network Solutions, Inc. V-1.5.9.5)
network:Class-Name:network
network:ID:LSN-BLK-63.143.32.0/19
network:Auth-Area:63.143.32.0/19
network:Network-Name:LSN-63.143.32.0/19
network:IP-Network:63.143.40.192/29
network:IP-Network-Block:63.143.40.192 - 63.143.40.199
network:Organization-Name:Virtual Brasil
network:Organization-City:São Vicente
network:Organization-State:OT
network:Organization-Zip:11320201
network:Organization-Country:BR
network:Tech-Contact;I:abuse at limestonenetworks.com
network:Admin-Contact;I:abuse at limestonenetworks.com
network:Updated-By:admin at limestonenetworks.com

network:Class-Name:network
network:ID:LSN-BLK-63.143.32.0/19
network:Auth-Area:63.143.32.0/19
network:Network-Name:LSN-63.143.32.0/19
network:IP-Network:63.143.32.0/19
network:IP-Network-Block:63.143.32.0 - 63.143.63.255
network:Organization;I:Limestone Networks
network:Tech-Contact;I:ipadmin at limestonenetworks.com
network:Admin-Contact;I:admin at limestonenetworks.com
network:Created:20080129
network:Updated:20080129
network:Updated-By:admin at limestonenetworks.com

%referral rwhois://root.rwhois.net:4321/auth-area=.
%ok


O outro provedor (DigitalOne) não publica info no rwhois….



On 11/08/2012, at 16:38, Rosauro Baretta <rosauro at rline.com.br> wrote:

> Itamar,
> 
> no caso nós já haviamos identificado os ips dos ataques, mas queria ver se tinha algo a mais que pude-se ser feito.
> 
> no nosso caso o ataque foi para varios ips da nossa rede, sendo sempre Flood UDP ou ICMP.
> 
> das origens dos ataques que eram aqui do Brasil conseguimos contatos com os detentores dos IPs, e 2 ips internacionais (212.124.124.52 e 63.143.40.194) neste caso mandamos e-mail para o abuse dos detentores dos IPs, mas ainda não recebemos nenhuma resposta (e nem sei se vamos receber resposta :-(  )
> 
> o nosso link principal (maior) é da GVT, e infelizmente desde ontem a noite até o momento não conseguimos contato com ninguém da GVT que conseguiu nos ajudar, até agradeço se tiver algum partipante da GVT que possa entrar em contato comigo.. ou se alguém tiver o contato e puder me enviar em pvt.
> 
> Em tempo desde o meio dia, nao tivemos mais problemas de ataques
> 
> Obrigado a todos que colaboraram.
> 
> 
> Atenciosamente,
> 
> Rosauro Baretta
> Fixo: 46 3555 8000
> Cel Claro: 46 8401 4560
> Cel TIM: 46 9975 2565
> 
> Em 10-08-2012 19:19, Itamar Reis Peixoto escreveu:
>> 2012/8/10 Rosauro Baretta<rosauro at rline.com.br>:
>>> Boa noite,
>>> 
>>> gostaria de ajuda dos colegas, pois estamos passando pela seguinte situação:
>>> 
>>> temos 2 links com GVT e OI, e estamos sofrendo ataques DOS/DDOS com destino
>>> a ips de nossos clientes... mas como a banda que vem no ataque é grande
>>> acaba derrubando toda a nossa rede em vários momentos, de momento o que
>>> melhor funciona é solicitar para as operadoras bloquearem do lado deles..
>>> mas o problema é a demora para isso ser feito....
>>> 
>>> Também estamos anunciando as redes atacadas em apenas um link (e também ja
>>> testamos deixar sem anunciar as redes) ai conseguimos sucesso, mas o
>>> problema que ai o ataque logo aparece em outras redes...
>>> 
>>> Aproveito para tirar uma duvida, a community  de Blackhole das operadoras,
>>> eu posso passar para a operadora o IP de origem que está me gerando o ataque
>>> ?
>>> 
>>> e o que os colegas mais experientes no assunto me recomendam a fazer ?
>>> 
>>> 
>>> 
>>> --
>>> Atenciosamente,
>>> 
>>> Rosauro Baretta
>>> Fixo: 46 3555 8000
>>> Cel Claro: 46 8401 4560
>>> Cel TIM: 46 9975 2565
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
>> acredito que  é uma otima oportunidade para aprimorar seus conhecimentos em bgp
>> 
>> o primeiro passo é descobrir de onde vem o ataque e para onde vai,
>> 
>> ferramentas como tcpdump, iptraf e outras poderao te ajudar.
>> 
>> 
>> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list