[caiu] Operadoras sob ataque
Douglas Fischer
fischerdouglas em gmail.com
Quarta Julho 8 22:36:12 BRT 2015
Não adianta bloquear, mesmo que seja na caixa do BGP.
Tem que evitar que os pacotes com destino ao(s) IP(s) atacado(s) cheguem
no seu link.
Pode fazer isso pedindo bloqueio pela operadora(como você fez), ou fazer um
novo anúncio específico daquele IP com community de black-hole. Geralmente
666.
/*Android told-me that this text should be at bottom.*/
Em 08/07/2015 22:24, "Andrio Prestes Jasper" <mascaraapj em gmail.com>
escreveu:
> A uns meses atrás recebemos um ataque que consumiu todo nosso link.
>
> Mesmo derrubando o cliente e bloqueando o IP para ninguém usar.
> Mesmo bloqueando IP origem e destino no firewall.
> Mesmo bloqueando IP origem (atacante) no bgp, jogando para null.
> O ataque não parava. O atacante estava atacando um IP que ninguém estava
> usando, que estava bloqueado no firewall (origem e destino) e no bgp... e
> me consumindo todo o link.
> Coisa de doido.
>
> Só voltou ao normal quando a operadora bloqueou lá nela.
> Em 08/07/2015 20:03, "Douglas Fischer" <fischerdouglas em gmail.com>
> escreveu:
>
> > Pois é...
> > Por maiores que sejam as botnets, eu duvido que esses ataques sejam só de
> > ataque distribuído. Tem que ter spoofing na jogada.
> >
> > Ainda mais com os ataques que eu andei pegando há uns meses atrás, com
> > múltiplas origens(supostamente) atacando portas não padrão.
> >
> > OK, existem os bots em redes residenciais, mas redes corporativas
> costumam
> > ter porta de destino limitadas a navegação e email. Como é que esses
> hosts
> > alcançam portas não padrão?
> >
> > E se tem spoofing, tem que ter uma mudança de comportamento no tráfego.
> > E se tem mudança de comportamento, tem como identificar.
> > E olha que os requisitos para identificar isso não são maiores que coleta
> > de contadores de tráfego via SNMP.
> >
> > /*Android told-me that this text should be at bottom.*/
> > Em 08/07/2015 20:41, "Rodrigo Augusto" <rodrigo em 1telecom.com.br>
> escreveu:
> >
> > > O auxilio nao precisaria nem ser muitoŠŠ a vezes, em sua maioria, os
> > > ataques sao para saturar a banda, e seria interessante se a operadora
> > > apenas identificasse por onde este fluxo entrouŠ sao tráfegos de 10, 15
> > GB
> > > em alguns casos, creio que dá para notar em determinado horário por
> onde
> > > este fluxo entrouŠ.e por aí vai até chegar de onde o fluxo saiuŠ
> > >
> > > Rodrigo Augusto
> > > Gestor de T.I. Grupo Connectoway
> > > http://www.connectoway.com.br <http://www.connectoway.com.br/>
> > > http://www.1telecom.com.br <http://www.1telecom.com.br/>
> > > * rodrigo em connectoway.com.br
> > > ( (81) 3497-6060
> > > ( (81) 8184-3646
> > > ( INOC-DBA 52965*100
> > >
> > >
> > >
> > >
> > > On 08/07/15 19:02, "Douglas Fischer" <fischerdouglas em gmail.com> wrote:
> > >
> > > >Mudando um pouquinho o foco da thread, mas ainda na mesma linha.
> > > >
> > > >Fico aqui me perguntando o quanto realmente é inviável para uma
> > operadora
> > > >do porte de OI/GVT/L3 auxiliar no rastreio desses ataques...
> > > >
> > > >Em 8 de julho de 2015 18:46, Rubens Kuhl <rubensk em gmail.com>
> escreveu:
> > > >
> > > >> 2015-07-08 18:03 GMT-03:00 Eduardo Rigler <erigler em gmail.com>:
> > > >>
> > > >> > Os caras f****** com meio mundo e o pessoal cheio de dedos pra dar
> > > >>nomes
> > > >> > aos bois. Não é a primeira vez que essa thread pipoca no meu
> e-mail
> > > >> > exatamente da mesma forma.
> > > >> >
> > > >> > Se depois de um ataque o camarada lembra imediatamente de "certa
> > > >>empresa
> > > >> > que fez contato oferecendo blablbala dias", só sendo muito
> inocente
> > ou
> > > >> > burro pra não achar que tem caroço nesse angu.
> > > >> >
> > > >>
> > > >> Considerando as possíveis implicações como calúnia e difamação, para
> > as
> > > >> quais há jurisprudência de ser extensível a empresas, é esperável
> esse
> > > >>tipo
> > > >> de receio.
> > > >>
> > > >> Lembrando que há pelo menos uma maneira de saber que redes estão sob
> > > >>alguns
> > > >> tipos de DoS: anunciar um bloco não alocado e coletar o tráfego que
> > > >>chega
> > > >> até ele. Parte será de redes sob ataques de spoofing com IP
> aleatório;
> > > >>nem
> > > >> todos os DoS se enquadram nesse perfil, claro.
> > > >>
> > > >>
> > > >> Rubens
> > > >> _______________________________________________
> > > >> caiu mailing list
> > > >> caiu em eng.registro.br
> > > >> https://eng.registro.br/mailman/listinfo/caiu
> > > >>
> > > >>
> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >>
> > > >> https://eng.registro.br/mailman/options/caiu
> > > >>
> > > >
> > > >
> > > >
> > > >--
> > > >Douglas Fernando Fischer
> > > >Engº de Controle e Automação
> > > >_______________________________________________
> > > >caiu mailing list
> > > >caiu em eng.registro.br
> > > >https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > >--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > >https://eng.registro.br/mailman/options/caiu
> > >
> > >
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
Mais detalhes sobre a lista de discussão caiu