[caiu] Problema com flood UDP vindos da GVT

Roberto Alcântara roberto em eletronica.org
Segunda Maio 7 10:52:37 BRT 2012


O Rubens salientou que *ataque* HTTP (l7) não dá para fazer, pq precisa da
conexão estabelecida.

Mas isso não significa que um ip spoofing não possa ser utilizado p/
tentativa de negação de serviço via tcp SYN por exemplo, na porta 80 TCP.

 - Roberto


2012/5/7 Rafael Galdino da Cunha <sup.rafaelgaldino at gmail.com>

> Em TCP não sei se tem como fazer o spoofing com qualquer ip, pois o TCP
> como o Rubens falou precisa do 3-handshake. já no UDP a pessoa pode forjar
> o IP, pois como não precisa do estabelecimento, é só envio, porém ele pode
> fazer negação em serviços UDP, dns por exemplo.  ou lotar a banda WAN de um
> atacado afim de praticamente parar a rede por falta de banda.
>
>
>
> Em 7 de maio de 2012 10:09, Rubens Kuhl <rubensk at gmail.com> escreveu:
>
> > Porque nem todas as operadoras fazem esse bloqueio como deveriam. Se
> > todos fizessem, isso não aconteceria.
> > Spoofado não serve para ataques HTTP, pois esses dependem de
> > estabelecimento de conexão. Ataques HTTP spoofados dependem de
> > subverter roteamento, algo também possível mas com ocorrência bem
> > menor.
> >
> >
> > Rubens
> >
> >
> > 2012/5/7 Marcelo Szeer <marcelo at vianet.com.br>:
> > > Mas como esse IP spoofado vai sair de dentro da rede da operadora se
> > esse bloco não pertence à rede dela... o pacote nem deveria sair, deveria
> > ser dropado pela operadora... ainda assim, se sair, o pacote não volta...
> > qual o sentido ? só serve ser spoofado se for para fazer ataque baseado
> em
> > serviço tipo http... ou não ?
> > >
> > > -----Mensagem original-----
> > > De: caiu-bounces at eng.registro.br [mailto:caiu-bounces at eng.registro.br]
> > Em nome de Rafael Galdino da Cunha
> > > Enviada: domingo, 6 de maio de 2012 23:17
> > > Para: Lista das indisponibilidades da Internet brasileira
> > > Assunto: Re: [caiu] Problema com flood UDP vindos da GVT
> > >
> > > Bem vindo aos Problemas de ataque onde damos pinotes mas não temos
> > muitas chances de sucesso.
> > >
> > > Se você tem banda ai grande, um firewall iria solucionar, em partes,
> > pois supondo que você tenha 100 megas e está tendo um ataque de 50, você
> > iria comprometer 50 megas do seu link, porém tem que ver que tipo de
> ataque
> > está sendo.
> > > negação de serviço?
> > > pacotes udp com portas aleatorias?
> > > ou outras tecnicas do tipo TTL, pacote com erros, rst para uma seção
> bgp,
> > >
> > > boa sorte amigo, sei que você ta tendo dores de cabeça das grandes ai.
> > >
> > >
> > > Em 6 de maio de 2012 23:08, Rubens Kuhl <rubensk at gmail.com> escreveu:
> > >
> > >> 2012/5/6 Lista <lista.gter at gmail.com>:
> > >> > Em 6 de maio de 2012 21:06, Rubens Kuhl <rubensk at gmail.com>
> escreveu:
> > >> >
> > >> >> Primeiro passo seria o seu backbone verificar que o flood está
> > >> >> mesmo vindo da GVT, já que pode ser spoofado.
> > >> >>
> > >> > Boa Noite Rubens, e como identificar se realmente o ip é spoofado ou
> > >> > verdadeiro?
> > >>
> > >> Não há como identificar. O flood precisa ser rastreado hop a hop por
> > >> cada backbone para saber de onde vem, e apenas o backbone de origem,
> > >> qualquer que seja ele, vai poder dizer se é spoofado não.
> > >>
> > >>
> > >> Rubens
> > >> _______________________________________________
> > >> caiu mailing list
> > >> caiu at eng.registro.br
> > >> https://eng.registro.br/mailman/listinfo/caiu
> > >>
> > >>
> > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>
> > >> https://eng.registro.br/mailman/options/caiu
> > >>
> > >
> > >
> > >
> > > --
> > > Att.
> > >
> > > Rafael Galdino
> > > _______________________________________________
> > > caiu mailing list
> > > caiu at eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> > >
> > > _______________________________________________
> > > caiu mailing list
> > > caiu at eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > _______________________________________________
> > caiu mailing list
> > caiu at eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
>
>
>
> --
> Att.
>
> Rafael Galdino
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


Mais detalhes sobre a lista de discussão caiu