[caiu] Problema com flood UDP vindos da GVT
Rafael Galdino da Cunha
sup.rafaelgaldino em gmail.com
Segunda Maio 7 10:41:10 BRT 2012
Em TCP não sei se tem como fazer o spoofing com qualquer ip, pois o TCP
como o Rubens falou precisa do 3-handshake. já no UDP a pessoa pode forjar
o IP, pois como não precisa do estabelecimento, é só envio, porém ele pode
fazer negação em serviços UDP, dns por exemplo. ou lotar a banda WAN de um
atacado afim de praticamente parar a rede por falta de banda.
Em 7 de maio de 2012 10:09, Rubens Kuhl <rubensk em gmail.com> escreveu:
> Porque nem todas as operadoras fazem esse bloqueio como deveriam. Se
> todos fizessem, isso não aconteceria.
> Spoofado não serve para ataques HTTP, pois esses dependem de
> estabelecimento de conexão. Ataques HTTP spoofados dependem de
> subverter roteamento, algo também possível mas com ocorrência bem
> menor.
>
>
> Rubens
>
>
> 2012/5/7 Marcelo Szeer <marcelo em vianet.com.br>:
> > Mas como esse IP spoofado vai sair de dentro da rede da operadora se
> esse bloco não pertence à rede dela... o pacote nem deveria sair, deveria
> ser dropado pela operadora... ainda assim, se sair, o pacote não volta...
> qual o sentido ? só serve ser spoofado se for para fazer ataque baseado em
> serviço tipo http... ou não ?
> >
> > -----Mensagem original-----
> > De: caiu-bounces em eng.registro.br [mailto:caiu-bounces em eng.registro.br]
> Em nome de Rafael Galdino da Cunha
> > Enviada: domingo, 6 de maio de 2012 23:17
> > Para: Lista das indisponibilidades da Internet brasileira
> > Assunto: Re: [caiu] Problema com flood UDP vindos da GVT
> >
> > Bem vindo aos Problemas de ataque onde damos pinotes mas não temos
> muitas chances de sucesso.
> >
> > Se você tem banda ai grande, um firewall iria solucionar, em partes,
> pois supondo que você tenha 100 megas e está tendo um ataque de 50, você
> iria comprometer 50 megas do seu link, porém tem que ver que tipo de ataque
> está sendo.
> > negação de serviço?
> > pacotes udp com portas aleatorias?
> > ou outras tecnicas do tipo TTL, pacote com erros, rst para uma seção bgp,
> >
> > boa sorte amigo, sei que você ta tendo dores de cabeça das grandes ai.
> >
> >
> > Em 6 de maio de 2012 23:08, Rubens Kuhl <rubensk em gmail.com> escreveu:
> >
> >> 2012/5/6 Lista <lista.gter em gmail.com>:
> >> > Em 6 de maio de 2012 21:06, Rubens Kuhl <rubensk em gmail.com> escreveu:
> >> >
> >> >> Primeiro passo seria o seu backbone verificar que o flood está
> >> >> mesmo vindo da GVT, já que pode ser spoofado.
> >> >>
> >> > Boa Noite Rubens, e como identificar se realmente o ip é spoofado ou
> >> > verdadeiro?
> >>
> >> Não há como identificar. O flood precisa ser rastreado hop a hop por
> >> cada backbone para saber de onde vem, e apenas o backbone de origem,
> >> qualquer que seja ele, vai poder dizer se é spoofado não.
> >>
> >>
> >> Rubens
> >> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> >>
> >
> >
> >
> > --
> > Att.
> >
> > Rafael Galdino
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
--
Att.
Rafael Galdino
Mais detalhes sobre a lista de discussão caiu