[caiu] ATAQUE

Alisson alissongoncalves em bsd.com.br
Domingo Março 2 11:38:43 BRT 2014 

Raphael, como estão suas configurações do NTP?

Em domingo, 2 de março de 2014, Raphael Cunha <rc.288vdg em gmail.com>
escreveu:

> Diego , ao meu ver é um syn flood que está acontecendo .
>
> Repare na quantidade de conexões tcp com portas diferentes das bem
> conhecidas.
>
> Protocol         Total    Flows   Packets Bytes  Packets Active(Sec)
> Idle(Sec)
> --------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow
> /Flow
> TCP-Telnet        8125      0.1         2    58      0.3       5.9
>  14.6
> TCP-FTP            893      0.0         1    40      0.0       0.6
>  12.4
> TCP-FTPD           174      0.0         1    40      0.0       0.0
> 0.3
> TCP-WWW         351547      5.3         1    45      5.7       0.2
> 1.5
> TCP-SMTP          1007      0.0         1    41      0.0       0.6
>  11.5
> TCP-X             3496      0.0         1    40      0.0       0.6
>  15.3
> TCP-BGP            220      0.0         1    43      0.0       0.0
> 2.6
> TCP-NNTP           238      0.0         1    42      0.0       0.1
> 4.1
> TCP-other      2200798     33.5         1    43     37.5       0.4
> 2.1
> UDP-DNS         158676      2.4         2    68      7.0       2.7
>  15.2
> UDP-NTP            558      0.0         2    42      0.0       0.7
>  15.4
> UDP-TFTP             1      0.0         3    78      0.0       2.9
>  15.7
> UDP-Frag             7      0.0         2   916      0.0       4.3
>  15.8
> UDP-other       383070      5.8         9    73     56.6       2.1
> 9.4
> ICMP             22649      0.3         5    37      2.0      13.8
>  15.1
> GRE                154      0.0       213    93      0.5     400.6
>  10.7
> IP-other            50      0.0         1   137      0.0       0.0
> 0.0
> Total:         3131663     47.6         2    60    110.0       0.8
> 3.7
>
>
>
> Em 2 de março de 2014 11:17, Diego Canton de Brito <
> diegocanton em ensite.com.br <javascript:;>> escreveu:
>
> > Acho que precisariamos ver o log pra tentar pensar em algo. Mas ataques
> > costumam ocorrer em portas baixas e em serviços vulneráveis.
> >
> >
> > Enviado por Samsung Mobile
> >
> > -------- Mensagem original --------
> > De : Raphael Cunha <rc.288vdg em gmail.com>
> > Data:02/03/2014  11:00  (GMT-03:00)
> > Para: Lista das indisponibilidades da Internet brasileira <
> > caiu em eng.registro.br>
> > Assunto: Re: [caiu] RES: ATAQUE
> >
> > Pessoal , os ataques a rede continuam , porém , de forma aleatória.
> >
> > estou tentando montar uma acl , mas , como as tentativas de conexão em
> sua
> > maioria estão vindo sempre de portas acima de 1024 para portas também
> acima
> > de 1024 fica bem complicado de montar uma lista de acesso sem acabar
> > dropando o trafego normal dos clientes.
> >
> > Alguém tem alguma ideia de como posso montar essa acl ?
> >
> >
> >
> > Em 1 de março de 2014 16:16, Lista <lista.gter em gmail.com> escreveu:
> >
> > > Pergunta. Param de sofrer o ataque ou apenas não está passando para a
> > rede?
> > >
> > > Estou meio curioso, pq geralmente ataque desse tipo demora para se
> > > interromper, então a unica coisa que observo é que se você não está
> > fazendo
> > > nada para que isso pare na operadora ou nas "bordas" dela e somente
> subiu
> > > regra de firewall em sua borda, eu presumo que o trafego ainda esteja
> > > ocupando seu link desnecessario.
> > >
> > >
> > >
> > > Em 1 de março de 2014 09:35, Andrio Prestes Jasper
> > > <mascaraapj em gmail.com>escreveu:
> > >
> > > > algumas semanas atras sofremos algo parecido.
> > > > estava consumindo todo nosso link e metade do upload.
> > > >
> > > > depois que bloqueamos todas as portas abaixo de 1024, salvo algumas
> > > > exceções (de porta ou para serviço interno), paramos de sofrer com
> > > isso...
> > > >
> > > >
> > > >
> > > > Em 28 de fevereiro de 2014 18:29, Giovane - Lancert
> > > > <ggr em lancert.com.br>escreveu:
> > > >
> > > > > Começou la fora, pode estar sendo direcionado para o Brasil
> agora....
> > > > >
> > > > > http://www.itnews.com.au/News/372033,worlds-largest-ddos-
> > > > > strikes-us-europe.aspx
> > > > >
> > > > > http://www.us-cert.gov/ncas/alerts/TA14-013A
> > > > >
> > > > >
> > > > > Giovane Grunhauser
> > > > > Analista de Suporte
> > > > > ggr em lancert.com.br
> > > > > Lancert Certificação, Projetos e Gestão de Redes
> > > > >
> > > > >
> > > > > -----Mensagem Original----- From: Manoel Damaceno Souza Neto
> > > > > Sent: Friday, February 28, 2014 5:58 PM
> > > > > To: Lista das indisponibilidades da Internet brasileira
> > > > > Subject: Re: [caiu] RES: ATAQUE
> > > > >
> > > > >
> > > > > Tive hoje tambem, 100mb ntp. Alguem sabe o que esta ocorrendo?
> > > > >
> > > > >  From: diegocanton em ensite.com.br
> > > > >> To: caiu em eng.registro.br
> > > > >> Date: Fri, 28 Feb 2014 14:33:06 -0300
> > > > >> Subject: [caiu] RES:  ATAQUE
> > > > >>
> > > > >> Temos recebido muitos ataques na porta UDP 123 (NTP), hoje tivemos
> > > > trafego
> > > > >> superior a 600 Mbps em nosso transporte principal.
> > > > >> Estamos aplicando bloqueio a porta UDP 123, liberando apenas para
> os
> > > > IP's
> > > > >> da
> > > > >> ntp.br



-- 
Att.
Alisson F. Gonçalves
Consultoria em BGP/FreeBSD/Redes
-----
"Grandes realizações não são feitas por impulso, mas por uma soma de
pequenas realizações."
(Vincent Van Gogh)

E-mail: alissongoncalves em bsd.com.br
Celular/Whatsapp: (67) 9694-3243
Skype: alissonx2

More information about the caiu mailing list