[caiu] RES: RES: ATAQUE
Diego Canton - Suporte Ensite
diegocanton em ensite.com.br
Sábado Março 1 17:42:49 BRT 2014
É um ataque de amplificação com abuso de um comando vulnerável do NTP , se o
servidor não receber os pacotes maliciosos que irão iniciar o tráfego o
problema não ocorre.
Estavamos bloqueando nos roteadores que realizam o PPPoE, porém equipamentos
que estavam fora foram atacados, como clientes com ASN próprios e
roteadores, achamos por melhor bloquear no roteador de borda e o problema
foi sanado, porém nada de pacote NTP passa para nossa rede, a não ser do
NTP.Br e Timeswindows.
E sim, já observamos clientes que receberam ataques consumindo toda banda
alocada e que ficam sob ataque por horas; O primeiro caso que identifiquei
orientei o cliente a criar regras de firewall em sua rede para proteger seus
servidores, era um Datacenter no interior. O cliente atualizou os servidores
NTP e realizou o bloqueio da porta UDP 123, isso resolveu. Após algum tempo
notamos outros clientes recebendo ataques, sempre a banda usada limitava-se
ao plano assinado, até que recentemente recebemos ataques nos servidores
Mikrotik, nesses equipamentos não temos controle do NTP, e sim,
lamentavelmente a banda consumida foi impressionante, quando bloqueamos nas
bordas o problema desapareceu.
Temos notado ataques frequentes a 123 e 53
Att,
_______________________________________________________________________
-----Mensagem original-----
De: caiu-bounces em eng.registro.br [mailto:caiu-bounces em eng.registro.br] Em
nome de Lista
Enviada em: sábado, 1 de março de 2014 16:17
Para: Lista das indisponibilidades da Internet brasileira
Assunto: Re: [caiu] RES: ATAQUE
Pergunta. Param de sofrer o ataque ou apenas não está passando para a rede?
Estou meio curioso, pq geralmente ataque desse tipo demora para se
interromper, então a unica coisa que observo é que se você não está fazendo
nada para que isso pare na operadora ou nas "bordas" dela e somente subiu
regra de firewall em sua borda, eu presumo que o trafego ainda esteja
ocupando seu link desnecessario.
Em 1 de março de 2014 09:35, Andrio Prestes Jasper
<mascaraapj em gmail.com>escreveu:
> algumas semanas atras sofremos algo parecido.
> estava consumindo todo nosso link e metade do upload.
>
> depois que bloqueamos todas as portas abaixo de 1024, salvo algumas
> exceções (de porta ou para serviço interno), paramos de sofrer com isso...
>
>
>
> Em 28 de fevereiro de 2014 18:29, Giovane - Lancert
> <ggr em lancert.com.br>escreveu:
>
> > Começou la fora, pode estar sendo direcionado para o Brasil agora....
> >
> > http://www.itnews.com.au/News/372033,worlds-largest-ddos-
> > strikes-us-europe.aspx
> >
> > http://www.us-cert.gov/ncas/alerts/TA14-013A
> >
> >
> > Giovane Grunhauser
> > Analista de Suporte
> > ggr em lancert.com.br
> > Lancert Certificação, Projetos e Gestão de Redes
> >
> >
> > -----Mensagem Original----- From: Manoel Damaceno Souza Neto
> > Sent: Friday, February 28, 2014 5:58 PM
> > To: Lista das indisponibilidades da Internet brasileira
> > Subject: Re: [caiu] RES: ATAQUE
> >
> >
> > Tive hoje tambem, 100mb ntp. Alguem sabe o que esta ocorrendo?
> >
> > From: diegocanton em ensite.com.br
> >> To: caiu em eng.registro.br
> >> Date: Fri, 28 Feb 2014 14:33:06 -0300
> >> Subject: [caiu] RES: ATAQUE
> >>
> >> Temos recebido muitos ataques na porta UDP 123 (NTP), hoje tivemos
> trafego
> >> superior a 600 Mbps em nosso transporte principal.
> >> Estamos aplicando bloqueio a porta UDP 123, liberando apenas para
> >> os
> IP's
> >> da
> >> ntp.br e time.windows.com
> >>
> >> O ataque hoje chegou inicialmente pela Vivo, bloqueado no roteador
> ligado
> >> a
> >> esse transito, imediatamente tivemos a entrada pelo transito
> >> principal
> da
> >> Algar, chegando a cerca de 600 Mbps.
> >>
> >> Inicialmente os bloqueios foram feitos nos servidores, agora
> >> aplicamos
> nos
> >> roteadore de borda.
> >>
> >> Att,
> >> ___________________________________________________________________
> >> ____
> >>
> >>
> >> -----Mensagem original-----
> >> De: caiu-bounces em eng.registro.br
> >> [mailto:caiu-bounces em eng.registro.br]
> Em
> >> nome de Raphael Cunha
> >> Enviada em: sexta-feira, 28 de fevereiro de 2014 12:11
> >> Para: Lista das indisponibilidades da Internet brasileira
> >> Assunto: Re: [caiu] ATAQUE
> >>
> >> Obrigado pessoal, o backbone é da YIPTELECOM . Temos peering com
> >> a
> Algar
> >> telecom , e com a speednet que faz nosso transporte para o ptt.
> >>
> >> Pelo que observamos os ataques estão vindo pelo link da algar telecom .
> >>
> >> Tenho uma pequena amostragem de trafego que conseguimos ontem e
> >> pela analise feita pelo engenheiro de rede se trata de um synflood
> >> .
> >>
> >> Vou pegar os dados e repassar aqui .
> >>
> >>
> >> Em 27 de fevereiro de 2014 22:59, Gutenberg Campos
> >> <gutenbergc em gmail.com>escreveu:
> >>
> >> > qual o backbone (empresa), só para aferirmos tendências
> >> >
> >> >
> >> > Em 27 de fevereiro de 2014 22:02, Cleverson Zampieri <
> >> > clever em clevercom.com.br> escreveu:
> >> >
> >> > > Instale um linux que vc terá todas as ferramentas à sua
> >> > > disposição, incluindo gente aqui p te ajudar,
> >> > >
> >> > > Cleverson Zampieri
> >> > >
> >> > > > On 27/02/2014, at 13:51, Raphael Cunha <rc.288vdg em gmail.com>
> wrote:
> >> > > >
> >> > > > Vou explicar a situação melhor , não disponho no provedor em
> >> > > > que
> >> > trabalho
> >> > > > de ferramentas adequadas para isso, e nosso router de borda
> >> > > > trabalha praticamente com pico de utilização de cpu e dessa
> >> > > > forma não posso habilitar um debug na caixa , pois posso
> >> > > > paralisar o
> >> backbone.
> >> > > >
> >> > > >
> >> > > >
> >> > > >
> >> > > > Em 27 de fevereiro de 2014 13:46, Rubens Kuhl
> >> > > > <rubensk em gmail.com>
> >> > > escreveu:
> >> > > >
> >> > > >> 2014-02-27 13:42 GMT-03:00 Raphael Cunha <rc.288vdg em gmail.com>:
> >> > > >>
> >> > > >>> Então pelo que estou verificando, estamos sofrendo ataques
> >> > > >>> destinados
> >> > > a 2
> >> > > >>> blocos 186.216.192.0/24 e 193.0/24.
> >> > > >>>
> >> > > >>> Verifico uma taxa muito alta de pacotes sendo recebidos
> >> > > >>> vindo do meu peering de internet, como eu sou somente
> >> > > >>> transito para esses blocos
> >> > que
> >> > > >>> estão em clientes nossos, fica difícil filtar para quais
> >> > > >>> portas ou de
> >> > > >> qual
> >> > > >>> origem o ataque está acontecendo.
> >> > > >> Ser trânsito não significa não poder olhar os headers dos
> >> > > >> pacotes para entender um problema...
> >> > > >>
> >> > > >>
> >> > > >> Rubens
> >> > > >> _______________________________________________
> >> > > >> caiu mailing list
> >> > > >> caiu em eng.registro.br
> >> > > >> https://eng.registro.br/mailman/listinfo/caiu
> >> > > >>
> >> > > >>
> >> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >> > > >>
> >> > > >> https://eng.registro.br/mailman/options/caiu
> >> > > > _______________________________________________
> >> > > > caiu mailing list
> >> > > > caiu em eng.registro.br
> >> > > > https://eng.registro.br/mailman/listinfo/caiu
> >> > > >
> >> > > >
> >> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >> > > >
> >> > > > https://eng.registro.br/mailman/options/caiu
> >> > > _______________________________________________
> >> > > caiu mailing list
> >> > > caiu em eng.registro.br
> >> > > https://eng.registro.br/mailman/listinfo/caiu
> >> > >
> >> > >
> >> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >> > >
> >> > > https://eng.registro.br/mailman/options/caiu
> >> > >
> >> >
> >> >
> >> >
> >> > --
> >> > AVISO LEGAL
> >> > Esta mensagem é destinada exclusivamente para a(s) pessoa(s) a
> >> > quem é dirigida, podendo conter informação confidencial e/ou
> >> > legalmente privilegiada. Se você não for destinatário desta
> >> > mensagem, desde já fica notificado de abster-se a divulgar,
> >> > copiar, distribuir, examinar ou, de qualquer forma, utilizar a
> >> > informação contida nesta mensagem, por ser ilegal. Caso você
> >> > tenha recebido esta mensagem por engano, pedimos que nos retorne
> >> > este E-Mail, promovendo, desde logo, a eliminação do seu conteúdo
> >> > em sua base de dados, registros ou sistema de controle. Fica
> >> > desprovida de eficácia e validade a mensagem que contiver
> >> > vínculos obrigacionais, expedida por quem não detenha poderes de
> >> representação.
> >> >
> >> > M.I.C.T.M.R.
> >> >
> >> > --
> >> > Roosevelth Gutenberg Ferreira Campos
> >> > _______________________________________________
> >> > caiu mailing list
> >> > caiu em eng.registro.br
> >> > https://eng.registro.br/mailman/listinfo/caiu
> >> >
> >> >
> >> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >> >
> >> > https://eng.registro.br/mailman/options/caiu
> >> >
> >> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> >>
> >> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> >>
> >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
>
>
>
> --
> Andrio Prestes Jasper
> Celular: (65) 8444 0040 / 8160 9761
> site: http://www.lgmtecnologia.com.br
> email: andrio.jasper em lgmtecnologia.com.br
> msn: mascara_apj em hotmail.com
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu
--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
https://eng.registro.br/mailman/options/caiu
More information about the caiu
mailing list