[caiu] Operadoras sob ataque

Andrio Prestes Jasper mascaraapj em gmail.com
Quarta Julho 8 22:23:28 BRT 2015


A uns meses atrás recebemos um ataque que consumiu todo nosso link.

Mesmo derrubando o cliente e bloqueando o IP para ninguém usar.
Mesmo bloqueando IP origem e destino no firewall.
Mesmo bloqueando IP origem (atacante) no bgp, jogando para null.
O ataque não parava. O atacante estava atacando um IP que ninguém estava
usando, que estava bloqueado no firewall (origem e destino) e no bgp... e
me consumindo todo o link.
Coisa de doido.

Só voltou ao normal quando a operadora bloqueou lá nela.
Em 08/07/2015 20:03, "Douglas Fischer" <fischerdouglas em gmail.com> escreveu:

> Pois é...
> Por maiores que sejam as botnets, eu duvido que esses ataques sejam só de
> ataque distribuído. Tem que ter spoofing na jogada.
>
> Ainda mais com os ataques que eu andei pegando há uns meses atrás, com
> múltiplas origens(supostamente) atacando portas não padrão.
>
> OK, existem os bots em redes residenciais, mas redes corporativas costumam
> ter porta de destino limitadas a navegação e email. Como é que esses hosts
> alcançam portas não padrão?
>
> E se tem spoofing, tem que ter uma mudança de comportamento no tráfego.
> E se tem mudança de comportamento, tem como identificar.
> E olha que os requisitos para identificar isso não são maiores que coleta
> de contadores de tráfego via SNMP.
>
> /*Android told-me that this text should be at bottom.*/
> Em 08/07/2015 20:41, "Rodrigo Augusto" <rodrigo em 1telecom.com.br> escreveu:
>
> > O auxilio nao precisaria nem ser muitoŠŠ a vezes, em sua maioria, os
> > ataques sao para saturar a banda, e seria interessante se a operadora
> > apenas identificasse por onde este fluxo entrouŠ sao tráfegos de 10, 15
> GB
> > em alguns casos, creio que dá para notar em determinado horário por onde
> > este fluxo entrouŠ.e por aí vai até chegar de onde o fluxo saiuŠ
> >
> > Rodrigo Augusto
> > Gestor de T.I. Grupo Connectoway
> > http://www.connectoway.com.br <http://www.connectoway.com.br/>
> > http://www.1telecom.com.br <http://www.1telecom.com.br/>
> > * rodrigo em connectoway.com.br
> > ( (81) 3497-6060
> > ( (81) 8184-3646
> > ( INOC-DBA 52965*100
> >
> >
> >
> >
> > On 08/07/15 19:02, "Douglas Fischer" <fischerdouglas em gmail.com> wrote:
> >
> > >Mudando um pouquinho o foco da thread, mas ainda na mesma linha.
> > >
> > >Fico aqui me perguntando o quanto realmente é inviável para uma
> operadora
> > >do porte de OI/GVT/L3 auxiliar no rastreio desses ataques...
> > >
> > >Em 8 de julho de 2015 18:46, Rubens Kuhl <rubensk em gmail.com> escreveu:
> > >
> > >> 2015-07-08 18:03 GMT-03:00 Eduardo Rigler <erigler em gmail.com>:
> > >>
> > >> > Os caras f****** com meio mundo e o pessoal cheio de dedos pra dar
> > >>nomes
> > >> > aos bois. Não é a primeira vez que essa thread pipoca no meu e-mail
> > >> > exatamente da mesma forma.
> > >> >
> > >> > Se depois de um ataque o camarada lembra imediatamente de "certa
> > >>empresa
> > >> > que fez contato oferecendo blablbala dias", só sendo muito inocente
> ou
> > >> > burro pra não achar que tem caroço nesse angu.
> > >> >
> > >>
> > >> Considerando as possíveis implicações como calúnia e difamação, para
> as
> > >> quais há jurisprudência de ser extensível a empresas, é esperável esse
> > >>tipo
> > >> de receio.
> > >>
> > >> Lembrando que há pelo menos uma maneira de saber que redes estão sob
> > >>alguns
> > >> tipos de DoS: anunciar um bloco não alocado e coletar o tráfego que
> > >>chega
> > >> até ele. Parte será de redes sob ataques de spoofing com IP aleatório;
> > >>nem
> > >> todos os DoS se enquadram nesse perfil, claro.
> > >>
> > >>
> > >> Rubens
> > >> _______________________________________________
> > >> caiu mailing list
> > >> caiu em eng.registro.br
> > >> https://eng.registro.br/mailman/listinfo/caiu
> > >>
> > >>
> > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>
> > >> https://eng.registro.br/mailman/options/caiu
> > >>
> > >
> > >
> > >
> > >--
> > >Douglas Fernando Fischer
> > >Engº de Controle e Automação
> > >_______________________________________________
> > >caiu mailing list
> > >caiu em eng.registro.br
> > >https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > >--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > >https://eng.registro.br/mailman/options/caiu
> >
> >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


Mais detalhes sobre a lista de discussão caiu