[caiu] Problema com flood UDP vindos da GVT

Rafael Galdino da Cunha sup.rafaelgaldino em gmail.com
Segunda Maio 7 11:18:40 BRT 2012


mas nesse caso usando zoobies?


Em 7 de maio de 2012 10:52, Roberto Alcântara <roberto em eletronica.org>escreveu:

> O Rubens salientou que *ataque* HTTP (l7) não dá para fazer, pq precisa da
> conexão estabelecida.
>
> Mas isso não significa que um ip spoofing não possa ser utilizado p/
> tentativa de negação de serviço via tcp SYN por exemplo, na porta 80 TCP.
>
>  - Roberto
>
>
> 2012/5/7 Rafael Galdino da Cunha <sup.rafaelgaldino em gmail.com>
>
> > Em TCP não sei se tem como fazer o spoofing com qualquer ip, pois o TCP
> > como o Rubens falou precisa do 3-handshake. já no UDP a pessoa pode
> forjar
> > o IP, pois como não precisa do estabelecimento, é só envio, porém ele
> pode
> > fazer negação em serviços UDP, dns por exemplo.  ou lotar a banda WAN de
> um
> > atacado afim de praticamente parar a rede por falta de banda.
> >
> >
> >
> > Em 7 de maio de 2012 10:09, Rubens Kuhl <rubensk em gmail.com> escreveu:
> >
> > > Porque nem todas as operadoras fazem esse bloqueio como deveriam. Se
> > > todos fizessem, isso não aconteceria.
> > > Spoofado não serve para ataques HTTP, pois esses dependem de
> > > estabelecimento de conexão. Ataques HTTP spoofados dependem de
> > > subverter roteamento, algo também possível mas com ocorrência bem
> > > menor.
> > >
> > >
> > > Rubens
> > >
> > >
> > > 2012/5/7 Marcelo Szeer <marcelo em vianet.com.br>:
> > > > Mas como esse IP spoofado vai sair de dentro da rede da operadora se
> > > esse bloco não pertence à rede dela... o pacote nem deveria sair,
> deveria
> > > ser dropado pela operadora... ainda assim, se sair, o pacote não
> volta...
> > > qual o sentido ? só serve ser spoofado se for para fazer ataque baseado
> > em
> > > serviço tipo http... ou não ?
> > > >
> > > > -----Mensagem original-----
> > > > De: caiu-bounces em eng.registro.br [mailto:
> caiu-bounces em eng.registro.br]
> > > Em nome de Rafael Galdino da Cunha
> > > > Enviada: domingo, 6 de maio de 2012 23:17
> > > > Para: Lista das indisponibilidades da Internet brasileira
> > > > Assunto: Re: [caiu] Problema com flood UDP vindos da GVT
> > > >
> > > > Bem vindo aos Problemas de ataque onde damos pinotes mas não temos
> > > muitas chances de sucesso.
> > > >
> > > > Se você tem banda ai grande, um firewall iria solucionar, em partes,
> > > pois supondo que você tenha 100 megas e está tendo um ataque de 50,
> você
> > > iria comprometer 50 megas do seu link, porém tem que ver que tipo de
> > ataque
> > > está sendo.
> > > > negação de serviço?
> > > > pacotes udp com portas aleatorias?
> > > > ou outras tecnicas do tipo TTL, pacote com erros, rst para uma seção
> > bgp,
> > > >
> > > > boa sorte amigo, sei que você ta tendo dores de cabeça das grandes
> ai.
> > > >
> > > >
> > > > Em 6 de maio de 2012 23:08, Rubens Kuhl <rubensk em gmail.com>
> escreveu:
> > > >
> > > >> 2012/5/6 Lista <lista.gter em gmail.com>:
> > > >> > Em 6 de maio de 2012 21:06, Rubens Kuhl <rubensk em gmail.com>
> > escreveu:
> > > >> >
> > > >> >> Primeiro passo seria o seu backbone verificar que o flood está
> > > >> >> mesmo vindo da GVT, já que pode ser spoofado.
> > > >> >>
> > > >> > Boa Noite Rubens, e como identificar se realmente o ip é spoofado
> ou
> > > >> > verdadeiro?
> > > >>
> > > >> Não há como identificar. O flood precisa ser rastreado hop a hop por
> > > >> cada backbone para saber de onde vem, e apenas o backbone de origem,
> > > >> qualquer que seja ele, vai poder dizer se é spoofado não.
> > > >>
> > > >>
> > > >> Rubens
> > > >> _______________________________________________
> > > >> caiu mailing list
> > > >> caiu em eng.registro.br
> > > >> https://eng.registro.br/mailman/listinfo/caiu
> > > >>
> > > >>
> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >>
> > > >> https://eng.registro.br/mailman/options/caiu
> > > >>
> > > >
> > > >
> > > >
> > > > --
> > > > Att.
> > > >
> > > > Rafael Galdino
> > > > _______________________________________________
> > > > caiu mailing list
> > > > caiu em eng.registro.br
> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > > https://eng.registro.br/mailman/options/caiu
> > > >
> > > >
> > > > _______________________________________________
> > > > caiu mailing list
> > > > caiu em eng.registro.br
> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > > https://eng.registro.br/mailman/options/caiu
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> >
> >
> >
> > --
> > Att.
> >
> > Rafael Galdino
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>



-- 
Att.

Rafael Galdino


Mais detalhes sobre a lista de discussão caiu