[caiu] Ataques partindo da GVT

Tiago Campos tiago.campos em gmail.com
Domingo Junho 26 23:18:33 BRT 2011


Roberto,

        Normalmente as botnets no IRC utilizam esta caracteristicas de flood
de HTTP para inspecionar servidores através do um search engine como google.
 Havendo resposta de vulnerabilidade da sua aplicação, este servidor acaba
caindo um uma lista para "equipamentos bons para ataques e ou hospedagem de
conteúdos maliciosos".   Esta lista é distribuida dentro de um canal fazendo
com que milhares de botnets conectem aos seus hosts para utilizarem de forma
irregular.

        Falo acima de uma situação hipotética e é comum em grandes
datacenters a troca de subnet e CIDR, e acontece normalmente quando voce
migra uma FARM Pool de servidores onde existe um Range já praticamente
conhecido no "mercado negro."

         Este scan e acesso acaba degradando em desempenho a resposta de
seus servidores.  Mesmo não havendo mais a vulnerabilidade por tabela você
acaba recebendo pacotes indevidos por má gestão deste bloco de ips pela
empresa de hospedagem anterior.

         Se sua rede não tiver problemas com banda e possuir um firewall de
borda com throughtput talvez uma acl diminuindo o impacto de synflood
consiga segurar o ataque. Porém é necessário validar se esta ACL não implica
em CPU ou Memória de seu firewall..


Att.
Tiago C. Campos.



Em 26 de junho de 2011 22:54, Roberto Lima <smuxbr at gmail.com> escreveu:

> Antonio,
> No momento o ataque exaure apenas a banda, por estar usando (tcp) http e
> syn
> flood. Mas o synflood ocorre de maneira diferente. Como vários já disseram,
> recebemos também diversas tentativas de bruteforce (todos bloqueados
> automaticamente via firewall) e muitas vezes ataques de synflood onde um ip
> consegue ter centenas de conexões, dessa vez ocorre de ter 200 a 400 ips
> cada um com 2 a 4 conexões enviando http flood pelos mais diversos
> strings... seja php injection, seja sql injection, mas que está incomodando
> e muito a performance dos servidores.
>
> Abs,
> Roberto.
>
> Em 26 de junho de 2011 17:34, Antonio Carlos Pina <
> antoniocarlospina at gmail.com> escreveu:
>
> > O que o ataque exaure em termos de recursos ?
> >
> > Banda ? Conexões ? Pps ? Ele faz acesso em um site ? Só abre conexões ?
> > Exaure a banda ? É tcp, udp, icmp ?
> >
> > Abs
> > Enviado via ALOG Hosted Exchange Mobile
> >
> > Em 26/06/2011, às 17:55, Roberto Lima <smuxbr at gmail.com> escreveu:
> >
> > > Erick, caso seja ip spoof, sugere alguma solução?
> > >
> > > Abs,
> > > Roberto.
> > >
> > > 800 IP's? Nao seria um simples DoS spoofado?
> > >>
> > >>
> > >> --
> > >> []s
> > >> Erick
> > >> _______________________________________________
> > >> caiu mailing list
> > >> caiu at eng.registro.br
> > >> https://eng.registro.br/mailman/listinfo/caiu
> > >>
> > >>
> > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>
> > >> https://eng.registro.br/mailman/options/caiu
> > >>
> > > _______________________________________________
> > > caiu mailing list
> > > caiu at eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > _______________________________________________
> > caiu mailing list
> > caiu at eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


Mais detalhes sobre a lista de discussão caiu