[caiu] ATAQUE
Rafael Galdino
sup.rafaelgaldino em gmail.com
Terça Março 4 21:57:03 BRT 2014
Acho que deve está usando a npe-300 rs....
mas na boa com pelo menos a npe-g1 acredito que funcionaria de boa. mas
100% ????
fiquei curioso também
Em 4 de março de 2014 21:15, Douglas Fischer <fischerdouglas em gmail.com>escreveu:
> Quais seus upstreams?
>
> Solicita filtro de qualquer tráfego desse bloco para seus enlaces...
>
> Alguns upstreams tem ferramentaria web de criação de filtros.
>
> /*Android told-me that this text should be at bottom.*/
> Em 04/03/2014 20:36, "Raphael Cunha" <rc.288vdg em gmail.com> escreveu:
>
> > Boa Noite ,
> >
> > hoje pela manhã identifiquei milhares de conexões partindo do bloco
> > 186.216.192.0/18 para alguns host dentro da nossa rede.
> >
> > Esse bloco pertence a empresa METROFLEX TELECOMUNICACOES LTDA
> >
> > inetnum: 186.216.0/18
> > aut-num: AS262663
> > abuse-c: METLT16
> > owner: METROFLEX TELECOMUNICACOES LTDA
> > ownerid: 010.247.372/0001-70
> > responsible: Luiz Fernando Neves de Almeida
> > country: BR
> > owner-c: METLT16
> > tech-c: METLT16
> > inetrev: 186.216.0/18
> > nserver: ns3.brasweb.com.br
> > nsstat: 20140304 TIMEOUT
> > nslastaa: 20140227
> > nserver: ns4.brasweb.com.br
> > nsstat: 20140304 AA
> > nslastaa: 20140304
> > created: 20100624
> > changed: 20100624
> >
> > nic-hdl-br: METLT16
> > person: METROFLEX TELECOMUNICACOES LTDA
> > e-mail: feralm em hotmail.com
> > created: 20090318
> > changed: 20090318
> >
> >
> >
> >
> > Tentei contato de diversas formas mais impossível .
> >
> >
> > Minha caixa , um 7606 está em 100 % direto situação está completamente
> > critica .
> >
> >
> >
> >
> >
> > Em 3 de março de 2014 15:02, Rubens Kuhl <rubensk em gmail.com> escreveu:
> >
> > > Além desses, time.apple.com, time.europe.apple.com e
> > > time.asia.apple.comsão usados por dispositivos com Mac OS X.
> > >
> > > Rubens
> > >
> > >
> > >
> > > 2014-03-02 11:57 GMT-03:00 Diego Canton de Brito <
> > > diegocanton em ensite.com.br>
> > > :
> > >
> > > > Muitos equipamentos utilizam sem q vc nem saiba da existência. Comi
> eu
> > > > disse, bloqueamos em nossos servidores e do nada houve ataque em
> algum
> > > > equipamento com NTP.
> > > >
> > > > Liberado apenas para
> > > > 200.160.0.0/20
> > > > 200.186.0.0/16
> > > > 200.189.40.0/24
> > > > 200.192.232.0/24
> > > > 200.20.186.0/23
> > > > e do Windows
> > > > 65.55.56.206
> > > > 24.56.178.140
> > > > 131.107.13.100
> > > > 129.6.15.28
> > > > 129.6.15.29
> > > >
> > > > Vc tem muitas conexão com NTP no log. Aqui era pouquíssimos assim e
> > gerou
> > > > uns 600 Mbps de respostas.
> > > >
> > > > tenta isso depois posta o resultado
> > > >
> > > > Enviado por Samsung Mobile
> > > >
> > > > -------- Mensagem original --------
> > > > De : Raphael Cunha <rc.288vdg em gmail.com>
> > > > Data:02/03/2014 11:43 (GMT-03:00)
> > > > Para: Lista das indisponibilidades da Internet brasileira <
> > > > caiu em eng.registro.br>
> > > > Assunto: Re: [caiu] ATAQUE
> > > >
> > > > Nesse momento não estamos utlizando ntp server.
> > > >
> > > >
> > > > Em 2 de março de 2014 11:38, Alisson <alissongoncalves em bsd.com.br>
> > > > escreveu:
> > > >
> > > > > Raphael, como estão suas configurações do NTP?
> > > > >
> > > > > Em domingo, 2 de março de 2014, Raphael Cunha <rc.288vdg em gmail.com
> >
> > > > > escreveu:
> > > > >
> > > > > > Diego , ao meu ver é um syn flood que está acontecendo .
> > > > > >
> > > > > > Repare na quantidade de conexões tcp com portas diferentes das
> bem
> > > > > > conhecidas.
> > > > > >
> > > > > > Protocol Total Flows Packets Bytes Packets
> > Active(Sec)
> > > > > > Idle(Sec)
> > > > > > -------- Flows /Sec /Flow /Pkt /Sec
> /Flow
> > > > > > /Flow
> > > > > > TCP-Telnet 8125 0.1 2 58 0.3
> 5.9
> > > > > > 14.6
> > > > > > TCP-FTP 893 0.0 1 40 0.0
> 0.6
> > > > > > 12.4
> > > > > > TCP-FTPD 174 0.0 1 40 0.0
> 0.0
> > > > > > 0.3
> > > > > > TCP-WWW 351547 5.3 1 45 5.7
> 0.2
> > > > > > 1.5
> > > > > > TCP-SMTP 1007 0.0 1 41 0.0
> 0.6
> > > > > > 11.5
> > > > > > TCP-X 3496 0.0 1 40 0.0
> 0.6
> > > > > > 15.3
> > > > > > TCP-BGP 220 0.0 1 43 0.0
> 0.0
> > > > > > 2.6
> > > > > > TCP-NNTP 238 0.0 1 42 0.0
> 0.1
> > > > > > 4.1
> > > > > > TCP-other 2200798 33.5 1 43 37.5
> 0.4
> > > > > > 2.1
> > > > > > UDP-DNS 158676 2.4 2 68 7.0
> 2.7
> > > > > > 15.2
> > > > > > UDP-NTP 558 0.0 2 42 0.0
> 0.7
> > > > > > 15.4
> > > > > > UDP-TFTP 1 0.0 3 78 0.0
> 2.9
> > > > > > 15.7
> > > > > > UDP-Frag 7 0.0 2 916 0.0
> 4.3
> > > > > > 15.8
> > > > > > UDP-other 383070 5.8 9 73 56.6
> 2.1
> > > > > > 9.4
> > > > > > ICMP 22649 0.3 5 37 2.0
> 13.8
> > > > > > 15.1
> > > > > > GRE 154 0.0 213 93 0.5
> 400.6
> > > > > > 10.7
> > > > > > IP-other 50 0.0 1 137 0.0
> 0.0
> > > > > > 0.0
> > > > > > Total: 3131663 47.6 2 60 110.0
> 0.8
> > > > > > 3.7
> > > > > >
> > > > > >
> > > > > >
> > > > > > Em 2 de março de 2014 11:17, Diego Canton de Brito <
> > > > > > diegocanton em ensite.com.br <javascript:;>> escreveu:
> > > > > >
> > > > > > > Acho que precisariamos ver o log pra tentar pensar em algo. Mas
> > > > ataques
> > > > > > > costumam ocorrer em portas baixas e em serviços vulneráveis.
> > > > > > >
> > > > > > >
> > > > > > > Enviado por Samsung Mobile
> > > > > > >
> > > > > > > -------- Mensagem original --------
> > > > > > > De : Raphael Cunha <rc.288vdg em gmail.com>
> > > > > > > Data:02/03/2014 11:00 (GMT-03:00)
> > > > > > > Para: Lista das indisponibilidades da Internet brasileira <
> > > > > > > caiu em eng.registro.br>
> > > > > > > Assunto: Re: [caiu] RES: ATAQUE
> > > > > > >
> > > > > > > Pessoal , os ataques a rede continuam , porém , de forma
> > aleatória.
> > > > > > >
> > > > > > > estou tentando montar uma acl , mas , como as tentativas de
> > conexão
> > > > em
> > > > > > sua
> > > > > > > maioria estão vindo sempre de portas acima de 1024 para portas
> > > também
> > > > > > acima
> > > > > > > de 1024 fica bem complicado de montar uma lista de acesso sem
> > > acabar
> > > > > > > dropando o trafego normal dos clientes.
> > > > > > >
> > > > > > > Alguém tem alguma ideia de como posso montar essa acl ?
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > Em 1 de março de 2014 16:16, Lista <lista.gter em gmail.com>
> > > escreveu:
> > > > > > >
> > > > > > > > Pergunta. Param de sofrer o ataque ou apenas não está
> passando
> > > > para a
> > > > > > > rede?
> > > > > > > >
> > > > > > > > Estou meio curioso, pq geralmente ataque desse tipo demora
> para
> > > se
> > > > > > > > interromper, então a unica coisa que observo é que se você
> não
> > > está
> > > > > > > fazendo
> > > > > > > > nada para que isso pare na operadora ou nas "bordas" dela e
> > > somente
> > > > > > subiu
> > > > > > > > regra de firewall em sua borda, eu presumo que o trafego
> ainda
> > > > esteja
> > > > > > > > ocupando seu link desnecessario.
> > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > > Em 1 de março de 2014 09:35, Andrio Prestes Jasper
> > > > > > > > <mascaraapj em gmail.com>escreveu:
> > > > > > > >
> > > > > > > > > algumas semanas atras sofremos algo parecido.
> > > > > > > > > estava consumindo todo nosso link e metade do upload.
> > > > > > > > >
> > > > > > > > > depois que bloqueamos todas as portas abaixo de 1024, salvo
> > > > algumas
> > > > > > > > > exceções (de porta ou para serviço interno), paramos de
> > sofrer
> > > > com
> > > > > > > > isso...
> > > > > > > > >
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > Em 28 de fevereiro de 2014 18:29, Giovane - Lancert
> > > > > > > > > <ggr em lancert.com.br>escreveu:
> > > > > > > > >
> > > > > > > > > > Começou la fora, pode estar sendo direcionado para o
> Brasil
> > > > > > agora....
> > > > > > > > > >
> > > > > > > > > >
> http://www.itnews.com.au/News/372033,worlds-largest-ddos-
> > > > > > > > > > strikes-us-europe.aspx
> > > > > > > > > >
> > > > > > > > > > http://www.us-cert.gov/ncas/alerts/TA14-013A
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > Giovane Grunhauser
> > > > > > > > > > Analista de Suporte
> > > > > > > > > > ggr em lancert.com.br
> > > > > > > > > > Lancert Certificação, Projetos e Gestão de Redes
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > -----Mensagem Original----- From: Manoel Damaceno Souza
> > Neto
> > > > > > > > > > Sent: Friday, February 28, 2014 5:58 PM
> > > > > > > > > > To: Lista das indisponibilidades da Internet brasileira
> > > > > > > > > > Subject: Re: [caiu] RES: ATAQUE
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > Tive hoje tambem, 100mb ntp. Alguem sabe o que esta
> > > ocorrendo?
> > > > > > > > > >
> > > > > > > > > > From: diegocanton em ensite.com.br
> > > > > > > > > >> To: caiu em eng.registro.br
> > > > > > > > > >> Date: Fri, 28 Feb 2014 14:33:06 -0300
> > > > > > > > > >> Subject: [caiu] RES: ATAQUE
> > > > > > > > > >>
> > > > > > > > > >> Temos recebido muitos ataques na porta UDP 123 (NTP),
> hoje
> > > > > tivemos
> > > > > > > > > trafego
> > > > > > > > > >> superior a 600 Mbps em nosso transporte principal.
> > > > > > > > > >> Estamos aplicando bloqueio a porta UDP 123, liberando
> > apenas
> > > > > para
> > > > > > os
> > > > > > > > > IP's
> > > > > > > > > >> da
> > > > > > > > > >> ntp.br
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > Att.
> > > > > Alisson F. Gonçalves
> > > > > Consultoria em BGP/FreeBSD/Redes
> > > > > -----
> > > > > "Grandes realizações não são feitas por impulso, mas por uma soma
> de
> > > > > pequenas realizações."
> > > > > (Vincent Van Gogh)
> > > > >
> > > > > E-mail: alissongoncalves em bsd.com.br
> > > > > Celular/Whatsapp: (67) 9694-3243
> > > > > Skype: alissonx2
> > > > > _______________________________________________
> > > > > caiu mailing list
> > > > > caiu em eng.registro.br
> > > > > https://eng.registro.br/mailman/listinfo/caiu
> > > > >
> > > > >
> > > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >
> > > > > https://eng.registro.br/mailman/options/caiu
> > > > >
> > > > _______________________________________________
> > > > caiu mailing list
> > > > caiu em eng.registro.br
> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > > https://eng.registro.br/mailman/options/caiu
> > > > _______________________________________________
> > > > caiu mailing list
> > > > caiu em eng.registro.br
> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > > https://eng.registro.br/mailman/options/caiu
> > > >
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
--
Att.
Rafael Galdino
More information about the caiu
mailing list