[caiu] RES: ATAQUE

Diego Canton - Suporte Ensite diegocanton em ensite.com.br
Sexta Fevereiro 28 14:33:06 BRT 2014 

Temos recebido muitos ataques na porta UDP 123 (NTP), hoje tivemos trafego
superior a 600 Mbps em nosso transporte principal.
Estamos aplicando bloqueio a porta UDP 123, liberando apenas para os IP's da
ntp.br e time.windows.com

O ataque hoje chegou inicialmente pela Vivo, bloqueado no roteador ligado a
esse transito, imediatamente tivemos a entrada pelo transito principal da
Algar, chegando a cerca de 600 Mbps.

Inicialmente os bloqueios foram feitos nos servidores, agora aplicamos nos
roteadore de borda.

Att,
_______________________________________________________________________


-----Mensagem original-----
De: caiu-bounces em eng.registro.br [mailto:caiu-bounces em eng.registro.br] Em
nome de Raphael Cunha
Enviada em: sexta-feira, 28 de fevereiro de 2014 12:11
Para: Lista das indisponibilidades da Internet brasileira
Assunto: Re: [caiu] ATAQUE

Obrigado pessoal, o backbone é da  YIPTELECOM .  Temos peering com a Algar
telecom , e com a speednet que faz nosso transporte para o ptt.

Pelo que observamos os ataques estão vindo pelo link da algar telecom .

Tenho uma pequena amostragem de trafego que conseguimos ontem e pela analise
feita pelo engenheiro de rede se trata de um synflood .

Vou pegar os dados e repassar aqui .


Em 27 de fevereiro de 2014 22:59, Gutenberg Campos
<gutenbergc em gmail.com>escreveu:

> qual o backbone (empresa), só para aferirmos tendências
>
>
> Em 27 de fevereiro de 2014 22:02, Cleverson Zampieri < 
> clever em clevercom.com.br> escreveu:
>
> > Instale um linux que vc terá todas as ferramentas à sua disposição, 
> > incluindo gente aqui p te ajudar,
> >
> > Cleverson Zampieri
> >
> > > On 27/02/2014, at 13:51, Raphael Cunha <rc.288vdg em gmail.com> wrote:
> > >
> > > Vou explicar a situação melhor , não disponho no provedor em que
> trabalho
> > > de ferramentas adequadas para isso, e nosso router de borda 
> > > trabalha praticamente com pico de utilização de cpu  e dessa forma 
> > > não posso habilitar um debug na caixa , pois posso paralisar o
backbone.
> > >
> > >
> > >
> > >
> > > Em 27 de fevereiro de 2014 13:46, Rubens Kuhl <rubensk em gmail.com>
> > escreveu:
> > >
> > >> 2014-02-27 13:42 GMT-03:00 Raphael Cunha <rc.288vdg em gmail.com>:
> > >>
> > >>> Então pelo que estou verificando, estamos sofrendo ataques 
> > >>> destinados
> > a 2
> > >>> blocos 186.216.192.0/24 e 193.0/24.
> > >>>
> > >>> Verifico uma taxa muito alta de pacotes sendo recebidos vindo do 
> > >>> meu peering de internet, como eu sou somente transito para esses 
> > >>> blocos
> que
> > >>> estão em clientes nossos, fica difícil filtar para quais portas 
> > >>> ou de
> > >> qual
> > >>> origem o ataque está acontecendo.
> > >> Ser trânsito não significa não poder olhar os headers dos pacotes 
> > >> para entender um problema...
> > >>
> > >>
> > >> Rubens
> > >> _______________________________________________
> > >> caiu mailing list
> > >> caiu em eng.registro.br
> > >> https://eng.registro.br/mailman/listinfo/caiu
> > >>
> > >>
> > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>
> > >> https://eng.registro.br/mailman/options/caiu
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
>
>
>
> --
> AVISO LEGAL
> Esta mensagem é destinada exclusivamente para a(s) pessoa(s) a quem é 
> dirigida, podendo conter informação confidencial e/ou legalmente 
> privilegiada. Se você não for destinatário desta mensagem, desde já 
> fica notificado de abster-se a divulgar, copiar, distribuir, examinar 
> ou, de qualquer forma, utilizar a informação contida nesta mensagem, 
> por ser ilegal. Caso você tenha recebido esta mensagem por engano, 
> pedimos que nos retorne este E-Mail, promovendo, desde logo, a 
> eliminação do seu conteúdo em sua base de dados, registros ou sistema 
> de controle. Fica desprovida de eficácia e validade a mensagem que 
> contiver vínculos obrigacionais, expedida por quem não detenha poderes de
representação.
>
> M.I.C.T.M.R.
>
> --
> Roosevelth Gutenberg Ferreira Campos
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu


--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu

More information about the caiu mailing list