[caiu] Operadoras sob ataque

Douglas Fischer fischerdouglas em gmail.com
Quarta Julho 8 23:05:51 BRT 2015


Me bateu ma dúvida:

Se o desespero for tão grande a ponto de eu sacrificar um /24(ou até
maior), e eu anunciar esse prefixo com black-hole, esse anúncio vai
transbordar mundo afora?

/*Android told-me that this text should be at bottom.*/
Em 08/07/2015 22:36, "Douglas Fischer" <fischerdouglas em gmail.com> escreveu:

> Não adianta bloquear, mesmo que seja na caixa do BGP.
> Tem que evitar que os pacotes com destino ao(s) IP(s) atacado(s)  cheguem
> no seu link.
>
> Pode fazer isso pedindo bloqueio pela operadora(como você fez), ou fazer
> um novo anúncio específico daquele IP com community de black-hole.
> Geralmente 666.
>
> /*Android told-me that this text should be at bottom.*/
> Em 08/07/2015 22:24, "Andrio Prestes Jasper" <mascaraapj em gmail.com>
> escreveu:
>
>> A uns meses atrás recebemos um ataque que consumiu todo nosso link.
>>
>> Mesmo derrubando o cliente e bloqueando o IP para ninguém usar.
>> Mesmo bloqueando IP origem e destino no firewall.
>> Mesmo bloqueando IP origem (atacante) no bgp, jogando para null.
>> O ataque não parava. O atacante estava atacando um IP que ninguém estava
>> usando, que estava bloqueado no firewall (origem e destino) e no bgp... e
>> me consumindo todo o link.
>> Coisa de doido.
>>
>> Só voltou ao normal quando a operadora bloqueou lá nela.
>> Em 08/07/2015 20:03, "Douglas Fischer" <fischerdouglas em gmail.com>
>> escreveu:
>>
>> > Pois é...
>> > Por maiores que sejam as botnets, eu duvido que esses ataques sejam só
>> de
>> > ataque distribuído. Tem que ter spoofing na jogada.
>> >
>> > Ainda mais com os ataques que eu andei pegando há uns meses atrás, com
>> > múltiplas origens(supostamente) atacando portas não padrão.
>> >
>> > OK, existem os bots em redes residenciais, mas redes corporativas
>> costumam
>> > ter porta de destino limitadas a navegação e email. Como é que esses
>> hosts
>> > alcançam portas não padrão?
>> >
>> > E se tem spoofing, tem que ter uma mudança de comportamento no tráfego.
>> > E se tem mudança de comportamento, tem como identificar.
>> > E olha que os requisitos para identificar isso não são maiores que
>> coleta
>> > de contadores de tráfego via SNMP.
>> >
>> > /*Android told-me that this text should be at bottom.*/
>> > Em 08/07/2015 20:41, "Rodrigo Augusto" <rodrigo em 1telecom.com.br>
>> escreveu:
>> >
>> > > O auxilio nao precisaria nem ser muitoŠŠ a vezes, em sua maioria, os
>> > > ataques sao para saturar a banda, e seria interessante se a operadora
>> > > apenas identificasse por onde este fluxo entrouŠ sao tráfegos de 10,
>> 15
>> > GB
>> > > em alguns casos, creio que dá para notar em determinado horário por
>> onde
>> > > este fluxo entrouŠ.e por aí vai até chegar de onde o fluxo saiuŠ
>> > >
>> > > Rodrigo Augusto
>> > > Gestor de T.I. Grupo Connectoway
>> > > http://www.connectoway.com.br <http://www.connectoway.com.br/>
>> > > http://www.1telecom.com.br <http://www.1telecom.com.br/>
>> > > * rodrigo em connectoway.com.br
>> > > ( (81) 3497-6060
>> > > ( (81) 8184-3646
>> > > ( INOC-DBA 52965*100
>> > >
>> > >
>> > >
>> > >
>> > > On 08/07/15 19:02, "Douglas Fischer" <fischerdouglas em gmail.com>
>> wrote:
>> > >
>> > > >Mudando um pouquinho o foco da thread, mas ainda na mesma linha.
>> > > >
>> > > >Fico aqui me perguntando o quanto realmente é inviável para uma
>> > operadora
>> > > >do porte de OI/GVT/L3 auxiliar no rastreio desses ataques...
>> > > >
>> > > >Em 8 de julho de 2015 18:46, Rubens Kuhl <rubensk em gmail.com>
>> escreveu:
>> > > >
>> > > >> 2015-07-08 18:03 GMT-03:00 Eduardo Rigler <erigler em gmail.com>:
>> > > >>
>> > > >> > Os caras f****** com meio mundo e o pessoal cheio de dedos pra
>> dar
>> > > >>nomes
>> > > >> > aos bois. Não é a primeira vez que essa thread pipoca no meu
>> e-mail
>> > > >> > exatamente da mesma forma.
>> > > >> >
>> > > >> > Se depois de um ataque o camarada lembra imediatamente de "certa
>> > > >>empresa
>> > > >> > que fez contato oferecendo blablbala dias", só sendo muito
>> inocente
>> > ou
>> > > >> > burro pra não achar que tem caroço nesse angu.
>> > > >> >
>> > > >>
>> > > >> Considerando as possíveis implicações como calúnia e difamação,
>> para
>> > as
>> > > >> quais há jurisprudência de ser extensível a empresas, é esperável
>> esse
>> > > >>tipo
>> > > >> de receio.
>> > > >>
>> > > >> Lembrando que há pelo menos uma maneira de saber que redes estão
>> sob
>> > > >>alguns
>> > > >> tipos de DoS: anunciar um bloco não alocado e coletar o tráfego que
>> > > >>chega
>> > > >> até ele. Parte será de redes sob ataques de spoofing com IP
>> aleatório;
>> > > >>nem
>> > > >> todos os DoS se enquadram nesse perfil, claro.
>> > > >>
>> > > >>
>> > > >> Rubens
>> > > >> _______________________________________________
>> > > >> caiu mailing list
>> > > >> caiu em eng.registro.br
>> > > >> https://eng.registro.br/mailman/listinfo/caiu
>> > > >>
>> > > >>
>> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> > > >>
>> > > >> https://eng.registro.br/mailman/options/caiu
>> > > >>
>> > > >
>> > > >
>> > > >
>> > > >--
>> > > >Douglas Fernando Fischer
>> > > >Engº de Controle e Automação
>> > > >_______________________________________________
>> > > >caiu mailing list
>> > > >caiu em eng.registro.br
>> > > >https://eng.registro.br/mailman/listinfo/caiu
>> > > >
>> > > >
>> > > >--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> > > >
>> > > >https://eng.registro.br/mailman/options/caiu
>> > >
>> > >
>> > > _______________________________________________
>> > > caiu mailing list
>> > > caiu em eng.registro.br
>> > > https://eng.registro.br/mailman/listinfo/caiu
>> > >
>> > >
>> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> > >
>> > > https://eng.registro.br/mailman/options/caiu
>> > >
>> > _______________________________________________
>> > caiu mailing list
>> > caiu em eng.registro.br
>> > https://eng.registro.br/mailman/listinfo/caiu
>> >
>> >
>> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> >
>> > https://eng.registro.br/mailman/options/caiu
>> >
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>


Mais detalhes sobre a lista de discussão caiu