[caiu] Problema com flood UDP vindos da GVT

Rubens Kuhl rubensk em gmail.com
Segunda Maio 7 10:09:45 BRT 2012


Porque nem todas as operadoras fazem esse bloqueio como deveriam. Se
todos fizessem, isso não aconteceria.
Spoofado não serve para ataques HTTP, pois esses dependem de
estabelecimento de conexão. Ataques HTTP spoofados dependem de
subverter roteamento, algo também possível mas com ocorrência bem
menor.


Rubens


2012/5/7 Marcelo Szeer <marcelo at vianet.com.br>:
> Mas como esse IP spoofado vai sair de dentro da rede da operadora se esse bloco não pertence à rede dela... o pacote nem deveria sair, deveria ser dropado pela operadora... ainda assim, se sair, o pacote não volta... qual o sentido ? só serve ser spoofado se for para fazer ataque baseado em serviço tipo http... ou não ?
>
> -----Mensagem original-----
> De: caiu-bounces at eng.registro.br [mailto:caiu-bounces at eng.registro.br] Em nome de Rafael Galdino da Cunha
> Enviada: domingo, 6 de maio de 2012 23:17
> Para: Lista das indisponibilidades da Internet brasileira
> Assunto: Re: [caiu] Problema com flood UDP vindos da GVT
>
> Bem vindo aos Problemas de ataque onde damos pinotes mas não temos muitas chances de sucesso.
>
> Se você tem banda ai grande, um firewall iria solucionar, em partes, pois supondo que você tenha 100 megas e está tendo um ataque de 50, você iria comprometer 50 megas do seu link, porém tem que ver que tipo de ataque está sendo.
> negação de serviço?
> pacotes udp com portas aleatorias?
> ou outras tecnicas do tipo TTL, pacote com erros, rst para uma seção bgp,
>
> boa sorte amigo, sei que você ta tendo dores de cabeça das grandes ai.
>
>
> Em 6 de maio de 2012 23:08, Rubens Kuhl <rubensk at gmail.com> escreveu:
>
>> 2012/5/6 Lista <lista.gter at gmail.com>:
>> > Em 6 de maio de 2012 21:06, Rubens Kuhl <rubensk at gmail.com> escreveu:
>> >
>> >> Primeiro passo seria o seu backbone verificar que o flood está
>> >> mesmo vindo da GVT, já que pode ser spoofado.
>> >>
>> > Boa Noite Rubens, e como identificar se realmente o ip é spoofado ou
>> > verdadeiro?
>>
>> Não há como identificar. O flood precisa ser rastreado hop a hop por
>> cada backbone para saber de onde vem, e apenas o backbone de origem,
>> qualquer que seja ele, vai poder dizer se é spoofado não.
>>
>>
>> Rubens
>> _______________________________________________
>> caiu mailing list
>> caiu at eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>
>
>
> --
> Att.
>
> Rafael Galdino
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
>
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu


Mais detalhes sobre a lista de discussão caiu