[caiu] Operadoras sob ataque

Douglas Fischer fischerdouglas em gmail.com
Quarta Julho 8 21:02:42 BRT 2015


Pois é...
Por maiores que sejam as botnets, eu duvido que esses ataques sejam só de
ataque distribuído. Tem que ter spoofing na jogada.

Ainda mais com os ataques que eu andei pegando há uns meses atrás, com
múltiplas origens(supostamente) atacando portas não padrão.

OK, existem os bots em redes residenciais, mas redes corporativas costumam
ter porta de destino limitadas a navegação e email. Como é que esses hosts
alcançam portas não padrão?

E se tem spoofing, tem que ter uma mudança de comportamento no tráfego.
E se tem mudança de comportamento, tem como identificar.
E olha que os requisitos para identificar isso não são maiores que coleta
de contadores de tráfego via SNMP.

/*Android told-me that this text should be at bottom.*/
Em 08/07/2015 20:41, "Rodrigo Augusto" <rodrigo em 1telecom.com.br> escreveu:

> O auxilio nao precisaria nem ser muitoŠŠ a vezes, em sua maioria, os
> ataques sao para saturar a banda, e seria interessante se a operadora
> apenas identificasse por onde este fluxo entrouŠ sao tráfegos de 10, 15 GB
> em alguns casos, creio que dá para notar em determinado horário por onde
> este fluxo entrouŠ.e por aí vai até chegar de onde o fluxo saiuŠ
>
> Rodrigo Augusto
> Gestor de T.I. Grupo Connectoway
> http://www.connectoway.com.br <http://www.connectoway.com.br/>
> http://www.1telecom.com.br <http://www.1telecom.com.br/>
> * rodrigo em connectoway.com.br
> ( (81) 3497-6060
> ( (81) 8184-3646
> ( INOC-DBA 52965*100
>
>
>
>
> On 08/07/15 19:02, "Douglas Fischer" <fischerdouglas em gmail.com> wrote:
>
> >Mudando um pouquinho o foco da thread, mas ainda na mesma linha.
> >
> >Fico aqui me perguntando o quanto realmente é inviável para uma operadora
> >do porte de OI/GVT/L3 auxiliar no rastreio desses ataques...
> >
> >Em 8 de julho de 2015 18:46, Rubens Kuhl <rubensk em gmail.com> escreveu:
> >
> >> 2015-07-08 18:03 GMT-03:00 Eduardo Rigler <erigler em gmail.com>:
> >>
> >> > Os caras f****** com meio mundo e o pessoal cheio de dedos pra dar
> >>nomes
> >> > aos bois. Não é a primeira vez que essa thread pipoca no meu e-mail
> >> > exatamente da mesma forma.
> >> >
> >> > Se depois de um ataque o camarada lembra imediatamente de "certa
> >>empresa
> >> > que fez contato oferecendo blablbala dias", só sendo muito inocente ou
> >> > burro pra não achar que tem caroço nesse angu.
> >> >
> >>
> >> Considerando as possíveis implicações como calúnia e difamação, para as
> >> quais há jurisprudência de ser extensível a empresas, é esperável esse
> >>tipo
> >> de receio.
> >>
> >> Lembrando que há pelo menos uma maneira de saber que redes estão sob
> >>alguns
> >> tipos de DoS: anunciar um bloco não alocado e coletar o tráfego que
> >>chega
> >> até ele. Parte será de redes sob ataques de spoofing com IP aleatório;
> >>nem
> >> todos os DoS se enquadram nesse perfil, claro.
> >>
> >>
> >> Rubens
> >> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> >>
> >
> >
> >
> >--
> >Douglas Fernando Fischer
> >Engº de Controle e Automação
> >_______________________________________________
> >caiu mailing list
> >caiu em eng.registro.br
> >https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> >--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> >https://eng.registro.br/mailman/options/caiu
>
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


Mais detalhes sobre a lista de discussão caiu