[caiu] RES: ATAQUE

Diego Canton de Brito diegocanton em ensite.com.br
Domingo Março 2 11:17:18 BRT 2014


Acho que precisariamos ver o log pra tentar pensar em algo. Mas ataques costumam ocorrer em portas baixas e em serviços vulneráveis.


Enviado por Samsung Mobile

-------- Mensagem original --------
De : Raphael Cunha <rc.288vdg em gmail.com> 
Data:02/03/2014  11:00  (GMT-03:00) 
Para: Lista das indisponibilidades da Internet brasileira <caiu em eng.registro.br> 
Assunto: Re: [caiu] RES: ATAQUE 

Pessoal , os ataques a rede continuam , porém , de forma aleatória.

estou tentando montar uma acl , mas , como as tentativas de conexão em sua
maioria estão vindo sempre de portas acima de 1024 para portas também acima
de 1024 fica bem complicado de montar uma lista de acesso sem acabar
dropando o trafego normal dos clientes.

Alguém tem alguma ideia de como posso montar essa acl ?



Em 1 de março de 2014 16:16, Lista <lista.gter em gmail.com> escreveu:

> Pergunta. Param de sofrer o ataque ou apenas não está passando para a rede?
>
> Estou meio curioso, pq geralmente ataque desse tipo demora para se
> interromper, então a unica coisa que observo é que se você não está fazendo
> nada para que isso pare na operadora ou nas "bordas" dela e somente subiu
> regra de firewall em sua borda, eu presumo que o trafego ainda esteja
> ocupando seu link desnecessario.
>
>
>
> Em 1 de março de 2014 09:35, Andrio Prestes Jasper
> <mascaraapj em gmail.com>escreveu:
>
> > algumas semanas atras sofremos algo parecido.
> > estava consumindo todo nosso link e metade do upload.
> >
> > depois que bloqueamos todas as portas abaixo de 1024, salvo algumas
> > exceções (de porta ou para serviço interno), paramos de sofrer com
> isso...
> >
> >
> >
> > Em 28 de fevereiro de 2014 18:29, Giovane - Lancert
> > <ggr em lancert.com.br>escreveu:
> >
> > > Começou la fora, pode estar sendo direcionado para o Brasil agora....
> > >
> > > http://www.itnews.com.au/News/372033,worlds-largest-ddos-
> > > strikes-us-europe.aspx
> > >
> > > http://www.us-cert.gov/ncas/alerts/TA14-013A
> > >
> > >
> > > Giovane Grunhauser
> > > Analista de Suporte
> > > ggr em lancert.com.br
> > > Lancert Certificação, Projetos e Gestão de Redes
> > >
> > >
> > > -----Mensagem Original----- From: Manoel Damaceno Souza Neto
> > > Sent: Friday, February 28, 2014 5:58 PM
> > > To: Lista das indisponibilidades da Internet brasileira
> > > Subject: Re: [caiu] RES: ATAQUE
> > >
> > >
> > > Tive hoje tambem, 100mb ntp. Alguem sabe o que esta ocorrendo?
> > >
> > >  From: diegocanton em ensite.com.br
> > >> To: caiu em eng.registro.br
> > >> Date: Fri, 28 Feb 2014 14:33:06 -0300
> > >> Subject: [caiu] RES:  ATAQUE
> > >>
> > >> Temos recebido muitos ataques na porta UDP 123 (NTP), hoje tivemos
> > trafego
> > >> superior a 600 Mbps em nosso transporte principal.
> > >> Estamos aplicando bloqueio a porta UDP 123, liberando apenas para os
> > IP's
> > >> da
> > >> ntp.br e time.windows.com
> > >>
> > >> O ataque hoje chegou inicialmente pela Vivo, bloqueado no roteador
> > ligado
> > >> a
> > >> esse transito, imediatamente tivemos a entrada pelo transito principal
> > da
> > >> Algar, chegando a cerca de 600 Mbps.
> > >>
> > >> Inicialmente os bloqueios foram feitos nos servidores, agora aplicamos
> > nos
> > >> roteadore de borda.
> > >>
> > >> Att,
> > >>
> _______________________________________________________________________
> > >>
> > >>
> > >> -----Mensagem original-----
> > >> De: caiu-bounces em eng.registro.br [mailto:caiu-bounces em eng.registro.br
> ]
> > Em
> > >> nome de Raphael Cunha
> > >> Enviada em: sexta-feira, 28 de fevereiro de 2014 12:11
> > >> Para: Lista das indisponibilidades da Internet brasileira
> > >> Assunto: Re: [caiu] ATAQUE
> > >>
> > >> Obrigado pessoal, o backbone é da  YIPTELECOM .  Temos peering com a
> > Algar
> > >> telecom , e com a speednet que faz nosso transporte para o ptt.
> > >>
> > >> Pelo que observamos os ataques estão vindo pelo link da algar telecom
> .
> > >>
> > >> Tenho uma pequena amostragem de trafego que conseguimos ontem e pela
> > >> analise
> > >> feita pelo engenheiro de rede se trata de um synflood .
> > >>
> > >> Vou pegar os dados e repassar aqui .
> > >>
> > >>
> > >> Em 27 de fevereiro de 2014 22:59, Gutenberg Campos
> > >> <gutenbergc em gmail.com>escreveu:
> > >>
> > >> > qual o backbone (empresa), só para aferirmos tendências
> > >> >
> > >> >
> > >> > Em 27 de fevereiro de 2014 22:02, Cleverson Zampieri <
> > >> > clever em clevercom.com.br> escreveu:
> > >> >
> > >> > > Instale um linux que vc terá todas as ferramentas à sua
> disposição,
> > >> > > incluindo gente aqui p te ajudar,
> > >> > >
> > >> > > Cleverson Zampieri
> > >> > >
> > >> > > > On 27/02/2014, at 13:51, Raphael Cunha <rc.288vdg em gmail.com>
> > wrote:
> > >> > > >
> > >> > > > Vou explicar a situação melhor , não disponho no provedor em que
> > >> > trabalho
> > >> > > > de ferramentas adequadas para isso, e nosso router de borda
> > >> > > > trabalha praticamente com pico de utilização de cpu  e dessa
> forma
> > >> > > > não posso habilitar um debug na caixa , pois posso paralisar o
> > >> backbone.
> > >> > > >
> > >> > > >
> > >> > > >
> > >> > > >
> > >> > > > Em 27 de fevereiro de 2014 13:46, Rubens Kuhl <
> rubensk em gmail.com>
> > >> > > escreveu:
> > >> > > >
> > >> > > >> 2014-02-27 13:42 GMT-03:00 Raphael Cunha <rc.288vdg em gmail.com
> >:
> > >> > > >>
> > >> > > >>> Então pelo que estou verificando, estamos sofrendo ataques
> > >> > > >>> destinados
> > >> > > a 2
> > >> > > >>> blocos 186.216.192.0/24 e 193.0/24.
> > >> > > >>>
> > >> > > >>> Verifico uma taxa muito alta de pacotes sendo recebidos vindo
> do
> > >> > > >>> meu peering de internet, como eu sou somente transito para
> esses
> > >> > > >>> blocos
> > >> > que
> > >> > > >>> estão em clientes nossos, fica difícil filtar para quais
> portas
> > >> > > >>> ou de
> > >> > > >> qual
> > >> > > >>> origem o ataque está acontecendo.
> > >> > > >> Ser trânsito não significa não poder olhar os headers dos
> pacotes
> > >> > > >> para entender um problema...
> > >> > > >>
> > >> > > >>
> > >> > > >> Rubens
> > >> > > >> _______________________________________________
> > >> > > >> caiu mailing list
> > >> > > >> caiu em eng.registro.br
> > >> > > >> https://eng.registro.br/mailman/listinfo/caiu
> > >> > > >>
> > >> > > >>
> > >> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >> > > >>
> > >> > > >> https://eng.registro.br/mailman/options/caiu
> > >> > > > _______________________________________________
> > >> > > > caiu mailing list
> > >> > > > caiu em eng.registro.br
> > >> > > > https://eng.registro.br/mailman/listinfo/caiu
> > >> > > >
> > >> > > >
> > >> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >> > > >
> > >> > > > https://eng.registro.br/mailman/options/caiu
> > >> > > _______________________________________________
> > >> > > caiu mailing list
> > >> > > caiu em eng.registro.br
> > >> > > https://eng.registro.br/mailman/listinfo/caiu
> > >> > >
> > >> > >
> > >> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >> > >
> > >> > > https://eng.registro.br/mailman/options/caiu
> > >> > >
> > >> >
> > >> >
> > >> >
> > >> > --
> > >> > AVISO LEGAL
> > >> > Esta mensagem é destinada exclusivamente para a(s) pessoa(s) a quem
> é
> > >> > dirigida, podendo conter informação confidencial e/ou legalmente
> > >> > privilegiada. Se você não for destinatário desta mensagem, desde já
> > >> > fica notificado de abster-se a divulgar, copiar, distribuir,
> examinar
> > >> > ou, de qualquer forma, utilizar a informação contida nesta mensagem,
> > >> > por ser ilegal. Caso você tenha recebido esta mensagem por engano,
> > >> > pedimos que nos retorne este E-Mail, promovendo, desde logo, a
> > >> > eliminação do seu conteúdo em sua base de dados, registros ou
> sistema
> > >> > de controle. Fica desprovida de eficácia e validade a mensagem que
> > >> > contiver vínculos obrigacionais, expedida por quem não detenha
> poderes
> > >> > de
> > >> representação.
> > >> >
> > >> > M.I.C.T.M.R.
> > >> >
> > >> > --
> > >> > Roosevelth Gutenberg Ferreira Campos
> > >> > _______________________________________________
> > >> > caiu mailing list
> > >> > caiu em eng.registro.br
> > >> > https://eng.registro.br/mailman/listinfo/caiu
> > >> >
> > >> >
> > >> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >> >
> > >> > https://eng.registro.br/mailman/options/caiu
> > >> >
> > >> _______________________________________________
> > >> caiu mailing list
> > >> caiu em eng.registro.br
> > >> https://eng.registro.br/mailman/listinfo/caiu
> > >>
> > >>
> > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>
> > >> https://eng.registro.br/mailman/options/caiu
> > >>
> > >> _______________________________________________
> > >> caiu mailing list
> > >> caiu em eng.registro.br
> > >> https://eng.registro.br/mailman/listinfo/caiu
> > >>
> > >>
> > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>
> > >> https://eng.registro.br/mailman/options/caiu
> > >>
> > >
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> >
> >
> >
> > --
> > Andrio Prestes Jasper
> > Celular: (65) 8444 0040 / 8160 9761
> > site: http://www.lgmtecnologia.com.br
> > email: andrio.jasper em lgmtecnologia.com.br
> > msn: mascara_apj em hotmail.com
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu


--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu


More information about the caiu mailing list