[GTER] Ataque UDP porta de origem 1900
Patrick Tracanelli
eksffa at freebsdbrasil.com.br
Tue Apr 28 07:56:34 -03 2015
Sent from my iPhone
> On Apr 27, 2015, at 9:03 PM, Renan Montoro <renan.m at msn.com> wrote:
>
> Boa noite pessoal,
> Alguém já enfrentou este tipo de ataque? São vários ips de origem de vários blocos, protocolo UDP, porém portas de origem 1900. Já aconteceu duas vezes comigo, tráfego sobe absurdamente no limite do contratado com a operadora, resolvi bloqueando tudo que entra com porta de origem 1900 UDP.
> Também percebi que o mesmo só acontece pela Algar, pois temos Telefônica e o mesmo não acontece e isso vai pesa bem na hora de renovar contratos rsrs.
> Obrigado a todos.
Já enfrentei :( é amplificação SSDP/PNP. Ta ficando cada vez mais comum. O packet len era constante 300 bytes ai bloqueei src-port + pkt len pq apenas src-port bloqueou tbm o IMO.Im (app de instant messaging).
No entanto da uma olhada se não tem máquina sua interna indo se conectar em um C&C antes. Eu acabei descobrindo depois que máquinas com algum worm iam pedir benção pra um C&C na porta 443/UDP e so começavam a receber amplificação as vezes depois disso. Coloquei o cliente pra ver nos logs do fw e bloquear na CPE do cliente o 443/UDP ou desinfectar. Aos poucos foi baixando a taxa de UDP 1900 até que cessou.
Algo me diz que apenas bloquear n vai fazer cessar pq antes de começar a tratar ficou 3 semanas bloqueado sem cessar.
>
>
> Renan Alves Montoro
> MikroTik Certified MTCNA
> RVNeT - Soluções em Internet
> www.rvnett.com.br
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list