[caiu] RES: ATAQUE

Raphael Cunha rc.288vdg em gmail.com
Domingo Março 2 11:30:00 BRT 2014


Diego , ao meu ver é um syn flood que está acontecendo .

Repare na quantidade de conexões tcp com portas diferentes das bem
conhecidas.

Protocol         Total    Flows   Packets Bytes  Packets Active(Sec)
Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet        8125      0.1         2    58      0.3       5.9      14.6
TCP-FTP            893      0.0         1    40      0.0       0.6      12.4
TCP-FTPD           174      0.0         1    40      0.0       0.0       0.3
TCP-WWW         351547      5.3         1    45      5.7       0.2       1.5
TCP-SMTP          1007      0.0         1    41      0.0       0.6      11.5
TCP-X             3496      0.0         1    40      0.0       0.6      15.3
TCP-BGP            220      0.0         1    43      0.0       0.0       2.6
TCP-NNTP           238      0.0         1    42      0.0       0.1       4.1
TCP-other      2200798     33.5         1    43     37.5       0.4       2.1
UDP-DNS         158676      2.4         2    68      7.0       2.7      15.2
UDP-NTP            558      0.0         2    42      0.0       0.7      15.4
UDP-TFTP             1      0.0         3    78      0.0       2.9      15.7
UDP-Frag             7      0.0         2   916      0.0       4.3      15.8
UDP-other       383070      5.8         9    73     56.6       2.1       9.4
ICMP             22649      0.3         5    37      2.0      13.8      15.1
GRE                154      0.0       213    93      0.5     400.6      10.7
IP-other            50      0.0         1   137      0.0       0.0       0.0
Total:         3131663     47.6         2    60    110.0       0.8       3.7



Em 2 de março de 2014 11:17, Diego Canton de Brito <
diegocanton em ensite.com.br> escreveu:

> Acho que precisariamos ver o log pra tentar pensar em algo. Mas ataques
> costumam ocorrer em portas baixas e em serviços vulneráveis.
>
>
> Enviado por Samsung Mobile
>
> -------- Mensagem original --------
> De : Raphael Cunha <rc.288vdg em gmail.com>
> Data:02/03/2014  11:00  (GMT-03:00)
> Para: Lista das indisponibilidades da Internet brasileira <
> caiu em eng.registro.br>
> Assunto: Re: [caiu] RES: ATAQUE
>
> Pessoal , os ataques a rede continuam , porém , de forma aleatória.
>
> estou tentando montar uma acl , mas , como as tentativas de conexão em sua
> maioria estão vindo sempre de portas acima de 1024 para portas também acima
> de 1024 fica bem complicado de montar uma lista de acesso sem acabar
> dropando o trafego normal dos clientes.
>
> Alguém tem alguma ideia de como posso montar essa acl ?
>
>
>
> Em 1 de março de 2014 16:16, Lista <lista.gter em gmail.com> escreveu:
>
> > Pergunta. Param de sofrer o ataque ou apenas não está passando para a
> rede?
> >
> > Estou meio curioso, pq geralmente ataque desse tipo demora para se
> > interromper, então a unica coisa que observo é que se você não está
> fazendo
> > nada para que isso pare na operadora ou nas "bordas" dela e somente subiu
> > regra de firewall em sua borda, eu presumo que o trafego ainda esteja
> > ocupando seu link desnecessario.
> >
> >
> >
> > Em 1 de março de 2014 09:35, Andrio Prestes Jasper
> > <mascaraapj em gmail.com>escreveu:
> >
> > > algumas semanas atras sofremos algo parecido.
> > > estava consumindo todo nosso link e metade do upload.
> > >
> > > depois que bloqueamos todas as portas abaixo de 1024, salvo algumas
> > > exceções (de porta ou para serviço interno), paramos de sofrer com
> > isso...
> > >
> > >
> > >
> > > Em 28 de fevereiro de 2014 18:29, Giovane - Lancert
> > > <ggr em lancert.com.br>escreveu:
> > >
> > > > Começou la fora, pode estar sendo direcionado para o Brasil agora....
> > > >
> > > > http://www.itnews.com.au/News/372033,worlds-largest-ddos-
> > > > strikes-us-europe.aspx
> > > >
> > > > http://www.us-cert.gov/ncas/alerts/TA14-013A
> > > >
> > > >
> > > > Giovane Grunhauser
> > > > Analista de Suporte
> > > > ggr em lancert.com.br
> > > > Lancert Certificação, Projetos e Gestão de Redes
> > > >
> > > >
> > > > -----Mensagem Original----- From: Manoel Damaceno Souza Neto
> > > > Sent: Friday, February 28, 2014 5:58 PM
> > > > To: Lista das indisponibilidades da Internet brasileira
> > > > Subject: Re: [caiu] RES: ATAQUE
> > > >
> > > >
> > > > Tive hoje tambem, 100mb ntp. Alguem sabe o que esta ocorrendo?
> > > >
> > > >  From: diegocanton em ensite.com.br
> > > >> To: caiu em eng.registro.br
> > > >> Date: Fri, 28 Feb 2014 14:33:06 -0300
> > > >> Subject: [caiu] RES:  ATAQUE
> > > >>
> > > >> Temos recebido muitos ataques na porta UDP 123 (NTP), hoje tivemos
> > > trafego
> > > >> superior a 600 Mbps em nosso transporte principal.
> > > >> Estamos aplicando bloqueio a porta UDP 123, liberando apenas para os
> > > IP's
> > > >> da
> > > >> ntp.br e time.windows.com
> > > >>
> > > >> O ataque hoje chegou inicialmente pela Vivo, bloqueado no roteador
> > > ligado
> > > >> a
> > > >> esse transito, imediatamente tivemos a entrada pelo transito
> principal
> > > da
> > > >> Algar, chegando a cerca de 600 Mbps.
> > > >>
> > > >> Inicialmente os bloqueios foram feitos nos servidores, agora
> aplicamos
> > > nos
> > > >> roteadore de borda.
> > > >>
> > > >> Att,
> > > >>
> > _______________________________________________________________________
> > > >>
> > > >>
> > > >> -----Mensagem original-----
> > > >> De: caiu-bounces em eng.registro.br [mailto:
> caiu-bounces em eng.registro.br
> > ]
> > > Em
> > > >> nome de Raphael Cunha
> > > >> Enviada em: sexta-feira, 28 de fevereiro de 2014 12:11
> > > >> Para: Lista das indisponibilidades da Internet brasileira
> > > >> Assunto: Re: [caiu] ATAQUE
> > > >>
> > > >> Obrigado pessoal, o backbone é da  YIPTELECOM .  Temos peering com a
> > > Algar
> > > >> telecom , e com a speednet que faz nosso transporte para o ptt.
> > > >>
> > > >> Pelo que observamos os ataques estão vindo pelo link da algar
> telecom
> > .
> > > >>
> > > >> Tenho uma pequena amostragem de trafego que conseguimos ontem e pela
> > > >> analise
> > > >> feita pelo engenheiro de rede se trata de um synflood .
> > > >>
> > > >> Vou pegar os dados e repassar aqui .
> > > >>
> > > >>
> > > >> Em 27 de fevereiro de 2014 22:59, Gutenberg Campos
> > > >> <gutenbergc em gmail.com>escreveu:
> > > >>
> > > >> > qual o backbone (empresa), só para aferirmos tendências
> > > >> >
> > > >> >
> > > >> > Em 27 de fevereiro de 2014 22:02, Cleverson Zampieri <
> > > >> > clever em clevercom.com.br> escreveu:
> > > >> >
> > > >> > > Instale um linux que vc terá todas as ferramentas à sua
> > disposição,
> > > >> > > incluindo gente aqui p te ajudar,
> > > >> > >
> > > >> > > Cleverson Zampieri
> > > >> > >
> > > >> > > > On 27/02/2014, at 13:51, Raphael Cunha <rc.288vdg em gmail.com>
> > > wrote:
> > > >> > > >
> > > >> > > > Vou explicar a situação melhor , não disponho no provedor em
> que
> > > >> > trabalho
> > > >> > > > de ferramentas adequadas para isso, e nosso router de borda
> > > >> > > > trabalha praticamente com pico de utilização de cpu  e dessa
> > forma
> > > >> > > > não posso habilitar um debug na caixa , pois posso paralisar o
> > > >> backbone.
> > > >> > > >
> > > >> > > >
> > > >> > > >
> > > >> > > >
> > > >> > > > Em 27 de fevereiro de 2014 13:46, Rubens Kuhl <
> > rubensk em gmail.com>
> > > >> > > escreveu:
> > > >> > > >
> > > >> > > >> 2014-02-27 13:42 GMT-03:00 Raphael Cunha <
> rc.288vdg em gmail.com
> > >:
> > > >> > > >>
> > > >> > > >>> Então pelo que estou verificando, estamos sofrendo ataques
> > > >> > > >>> destinados
> > > >> > > a 2
> > > >> > > >>> blocos 186.216.192.0/24 e 193.0/24.
> > > >> > > >>>
> > > >> > > >>> Verifico uma taxa muito alta de pacotes sendo recebidos
> vindo
> > do
> > > >> > > >>> meu peering de internet, como eu sou somente transito para
> > esses
> > > >> > > >>> blocos
> > > >> > que
> > > >> > > >>> estão em clientes nossos, fica difícil filtar para quais
> > portas
> > > >> > > >>> ou de
> > > >> > > >> qual
> > > >> > > >>> origem o ataque está acontecendo.
> > > >> > > >> Ser trânsito não significa não poder olhar os headers dos
> > pacotes
> > > >> > > >> para entender um problema...
> > > >> > > >>
> > > >> > > >>
> > > >> > > >> Rubens
> > > >> > > >> _______________________________________________
> > > >> > > >> caiu mailing list
> > > >> > > >> caiu em eng.registro.br
> > > >> > > >> https://eng.registro.br/mailman/listinfo/caiu
> > > >> > > >>
> > > >> > > >>
> > > >> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >> > > >>
> > > >> > > >> https://eng.registro.br/mailman/options/caiu
> > > >> > > > _______________________________________________
> > > >> > > > caiu mailing list
> > > >> > > > caiu em eng.registro.br
> > > >> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >> > > >
> > > >> > > >
> > > >> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >> > > >
> > > >> > > > https://eng.registro.br/mailman/options/caiu
> > > >> > > _______________________________________________
> > > >> > > caiu mailing list
> > > >> > > caiu em eng.registro.br
> > > >> > > https://eng.registro.br/mailman/listinfo/caiu
> > > >> > >
> > > >> > >
> > > >> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >> > >
> > > >> > > https://eng.registro.br/mailman/options/caiu
> > > >> > >
> > > >> >
> > > >> >
> > > >> >
> > > >> > --
> > > >> > AVISO LEGAL
> > > >> > Esta mensagem é destinada exclusivamente para a(s) pessoa(s) a
> quem
> > é
> > > >> > dirigida, podendo conter informação confidencial e/ou legalmente
> > > >> > privilegiada. Se você não for destinatário desta mensagem, desde
>> > > >> > fica notificado de abster-se a divulgar, copiar, distribuir,
> > examinar
> > > >> > ou, de qualquer forma, utilizar a informação contida nesta
> mensagem,
> > > >> > por ser ilegal. Caso você tenha recebido esta mensagem por engano,
> > > >> > pedimos que nos retorne este E-Mail, promovendo, desde logo, a
> > > >> > eliminação do seu conteúdo em sua base de dados, registros ou
> > sistema
> > > >> > de controle. Fica desprovida de eficácia e validade a mensagem que
> > > >> > contiver vínculos obrigacionais, expedida por quem não detenha
> > poderes
> > > >> > de
> > > >> representação.
> > > >> >
> > > >> > M.I.C.T.M.R.
> > > >> >
> > > >> > --
> > > >> > Roosevelth Gutenberg Ferreira Campos
> > > >> > _______________________________________________
> > > >> > caiu mailing list
> > > >> > caiu em eng.registro.br
> > > >> > https://eng.registro.br/mailman/listinfo/caiu
> > > >> >
> > > >> >
> > > >> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >> >
> > > >> > https://eng.registro.br/mailman/options/caiu
> > > >> >
> > > >> _______________________________________________
> > > >> caiu mailing list
> > > >> caiu em eng.registro.br
> > > >> https://eng.registro.br/mailman/listinfo/caiu
> > > >>
> > > >>
> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >>
> > > >> https://eng.registro.br/mailman/options/caiu
> > > >>
> > > >> _______________________________________________
> > > >> caiu mailing list
> > > >> caiu em eng.registro.br
> > > >> https://eng.registro.br/mailman/listinfo/caiu
> > > >>
> > > >>
> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >>
> > > >> https://eng.registro.br/mailman/options/caiu
> > > >>
> > > >
> > > > _______________________________________________
> > > > caiu mailing list
> > > > caiu em eng.registro.br
> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > > https://eng.registro.br/mailman/options/caiu
> > > > _______________________________________________
> > > > caiu mailing list
> > > > caiu em eng.registro.br
> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > > https://eng.registro.br/mailman/options/caiu
> > > >
> > >
> > >
> > >
> > > --
> > > Andrio Prestes Jasper
> > > Celular: (65) 8444 0040 / 8160 9761
> > > site: http://www.lgmtecnologia.com.br
> > > email: andrio.jasper em lgmtecnologia.com.br
> > > msn: mascara_apj em hotmail.com
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


More information about the caiu mailing list