[GTER] [caiu] DDos em massa partindo de IPS nacionais

Raphael Pontara pontara at outlook.com
Fri Jul 27 22:01:01 -03 2018 

Em todas as ocasiões em que mencionei o fato de que as tentativas de brute-forcing contra um AS vinham de IPs com os dois primeiros octetos IGUAIS, a maioria das pessoas levantou o argumento de spoofing.

Não só isso, uns mencionaram a ineficiência de um ‘ataque’ vindo APENAS de IPs parecidos e outros levantaram a ideia de que IPs parecidos geralmente estão sob o mesmo RIR/LIR, o que reforçaria a suspeita de spoofing.

Bem...

Durante minhas análises, pude notar uma outra ‘coincidência’, a de que os blocos ‘atacantes’ seguiam a sequência numérica designada a cada ASN (Ex: AS001, AS002, AS003, etc), saltando os ASes que não possuíam blocos ‘parecidos’ e, no caso dos ‘parecidos’ saltados, talvez estes não estivessem comprometidos.

É importante dizer que - SIM - estes blocos tentavam iniciar a conexão e nos casos em que o equipamento serviu de isca, o atacante (com o bloco parecido) realizou o ‘aperto de mãos’ e ‘se despediu’ em seguida.

Não posso afirmar que seja algo restrito às terras Tupiniquins, pois não tive a oportunidade de observar este ‘fenômeno’ em outras nacionalidades.

Porém, o fato marcante de seguir uma sequência E, usar blocos parecidos, levanta a hipótese de que o atacante quer explorar ‘dedos gordos’ que deixaram passar um /16 no lugar de um /22 ou /20.

Há outras possibilidades, claro.
Mas não me aprofundei o suficiente para afirmar nada além do que vi.

E posso garantir que não estou falando ‘leiguices’.

Raphael Pontara
+55 27 99252-5555 (Claro)
+55 27 99998-6904 (Vivo)

Em 27 de jul de 2018, à(s) 20:20, Fred Pedrisa <pedrisa at hyperfilter.com> escreveu:

> Aí depende muito... Se forem conexões TCP capazes de realizar o 3WH, vão realmente ser maquinas comprometidas, não se tratando de spoofing (neste caso, como eles mesmos disseram, brute forcing).
> 
> IPs Spoofados não conseguem fechar o Handshake do TCP jamais. :)
> 
>> On 27/07/2018 14:02, Antonio Carlos Pina wrote:
>> Pessoal, só não esqueçam que em se tratando de ataque DDoS, os IPs podem
>> ser esses mas também podem não ser. Ataques spoofing são muito mais comuns.
>> ou seja, o ataque pode estar vindo da Coreia do Norte com os IPs do UOL e
>> não se pode acreditar piamente que é do UOL. Pode falar com o administrador
>> mas entendendo que pode não ser real.
>> 
>> Abs
>> 
>> Em 27 de julho de 2018 13:20, Rafael Galdino <sup.rafaelgaldino at gmail.com>
>> escreveu:
>> 
>>> meu xará Raphael. já tenho um caso parecido cliente com o 143.255.x.x ai
>>> tem um cara no mesmo octeto, digo o primeiro e segundo, o cara é
>>> diretoooooo telnet e ssh para a rede desse meu cliente, já consegui ate o
>>> WhatsApp do dono, reportei, expliquei, mandei print. sabe a resposta?
>>> 
>>> vou verificar...
>>> ai mando depois perguntando e ai conseguiu bloquear?
>>> 
>>> resposta: .... .... .......
>>> 
>>> enfim o povo acha que ter provedor é: ping abrir facebook e já era
>>> 
>>> Em sex, 27 de jul de 2018 às 13:10, Raphael Pontara <pontara at outlook.com>
>>> escreveu:
>>> 
>>>> Thiago, só aproveitando o gancho.
>>>> 
>>>> Eu gostaria de relatar que percebi um comportamento parecido quando ativo
>>>> assinantes de link dedicado nos provedores que atendo.
>>>> 
>>>> Curiosamente, clientes residenciais - que se conectam por PPPoE - não
>>>> apresentam a mesma dinâmica.
>>>> 
>>>> Trata-se do seguinte:
>>>> Ao ativar o cliente corporativo com IP estático na interface de acesso,
>>>> basta estabelecer rota default no cliente e o tráfego da porta “TOPA”
>>>> (limitado ao controle de banda setado no cliente) no sentido de upload
>>> (do
>>>> cliente para fora) por aproximadamente 10 segundos
>>>> 
>>>> Imediatamente também ocorre brute-force, vindo de IPs com o primeiro e o
>>>> segundo octetos IGUAIS aos do cliente ativado (obviamente, o terceiro e o
>>>> quarto são diferente).
>>>> 
>>>> Isso me chamou a atenção e resolvi coletar algumas informações.
>>>> 
>>>> Para minha surpresa, a maioria dos ASes que realizam brute-force (com o
>>>>>>> e 2º octetos iguais ao do AS atacado), são do Brasil e de fato estavam
>>>> comprometidos.
>>>> 
>>>> Não consegui - ainda - coletar o que sai do cliente recém ativado.
>>>> Na próxima ativação eu pretendo coletar com o wireshark ou outra
>>>> ferramenta.
>>>> 
>>>> Raphael Pontara
>>>> +55 27 99252-5555 (Claro)
>>>> +55 27 99998-6904 (Vivo)
>>>> 
>>>> Em 27 de jul de 2018, à(s) 09:50, THIAGO AYUB <thiago.ayub at upx.com>
>>>> escreveu:
>>>> 
>>>>> Olá Rafael,
>>>>> 
>>>>> 
>>>>> Esse assunto é off-topic para a lista CAIU e mas é on-topic na GTER.
>>>>> 
>>>>> Isso acontece o tempo todo. Já há alguns anos quando acompanho algum
>>>>> prefixo que nunca foi anunciado na tabela global de roteamento assim
>>> que
>>>>> ele o é pela primeira vez, em segundos (5 ou menos) já vejo brute force
>>>>> chegar. É tão certeiro que suponho que exista sim gente monitorando os
>>>>> anúncios na tabela global para focar brute force em sistemas autônomos
>>>>> recém-inaugurados, mal configurados etc.
>>>>> 
>>>>> A conduta correta é reportar todos os casos. Fazemos isso para os
>>>> endereços
>>>>> que constam no WHOIS dos IPs (e sinto falta de um explícito contato de
>>>>> ABUSE nos registros brasileiros). Somente neste ano cerca de 26% dos AS
>>>>> brasileiros já receberam algum abuse report nosso. Mas a esmagadora
>>>> maioria
>>>>> faz pouco caso, ignora, não responde, não toma providências. Seguem a
>>>>> errônea filosofia do "Se meu cliente não tá reclamando, não tenho que
>>>> tomar
>>>>> providências.".
>>>>> 
>>>>> Diante disso, passamos a reportar os casos para várias blacklists as
>>>> quais
>>>>> temos convênio para relatar incidentes, como por exemplo a
>>>>> https://www.abuseipdb.com/user/15015 que é patrocinada pela
>>>> DigitalOcean.
>>>>> Temos obtido com essas inclusões em blacklists os melhores resultados,
>>>>>>>> que os IPs citados param de conseguir acessar servidores de IRC,
>>> passam a
>>>>> ter e-mails rejeitados, não entram mais em servidores de jogos e até
>>>> alguns
>>>>> tribunais de justiça brasileiros rejeitam o login de IPs nessas
>>>> blacklists.
>>>>> Aí sim os clientes do ISP/datacenter começam a reclamar e o responsável
>>>>> pelo AS toma as devidas providências.
>>>>> 
>>>>> Abraços,
>>>>> 
>>>>> 
>>>>> 
>>>>> *Thiago Ayub *| Network Director
>>>>> 
>>>>> +55 (11) 2626-3952 <(11)%202626-3952>
>>>>> upx.com
>>>>> 
>>>>> 
>>>>> 2018-07-26 3:04 GMT-03:00 Rafael VOlpe TI <rafaelvolpeti at gmail.com>:
>>>>> 
>>>>>> Bom dia galera,
>>>>>> 
>>>>>> mais alguém tem enfrentado ataques DDos (Geralmente em Webservers), em
>>>>>> LARGA escala (mais de 5000 ips nacionais - Vivo/Claro/Ctbc) para
>>>> aplicações
>>>>>> WEB?
>>>>>> 
>>>>>> Rapaz, eu tenho recebido muito, mais muito ataque de bots partindo
>>>> desses
>>>>>> endereços.
>>>>>> Geralmente atacam WEB/Banco/Ftp, tudo junto.
>>>>>> 
>>>>>> Mais alguém tem enfrentado isso? As operadoras tem feito algo sobre
>>>> isso?
>>>>>> Abraços.
>>>>>> _______________________________________________
>>>>>> caiu mailing list
>>>>>> caiu at eng.registro.br
>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>> 
>>>>>> 
>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>> 
>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>> 
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>> 
>>> 
>>> --
>>> 
>>> *Rafael Galdino*
>>> 
>>> 
>>> *      Analista de redes*
>>> 
>>>        Inoc: 265147*100
>>> 
>>>       Phone:
>>> 
>>> *+55 (83) 99600-0242*
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> -- 
> Fred Pedrisa - CEO/CTO
> HyperFilter DDoS Protection Solutions
> A FNXTEC, Company.
> https://www.hyperfilter.com
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list