[caiu] Operadoras sob ataque
CTBC Telecom
algartelecom em gmail.com
Quarta Julho 8 23:12:49 BRT 2015
A maioria das operadoras só aceita black-hole de prefixo /32...
Você poderia anunciar os 256 /32, mas daria muito trabalho.
2015-07-08 23:05 GMT-03:00 Douglas Fischer <fischerdouglas at gmail.com>:
> Me bateu ma dúvida:
>
> Se o desespero for tão grande a ponto de eu sacrificar um /24(ou até
> maior), e eu anunciar esse prefixo com black-hole, esse anúncio vai
> transbordar mundo afora?
>
> /*Android told-me that this text should be at bottom.*/
> Em 08/07/2015 22:36, "Douglas Fischer" <fischerdouglas at gmail.com>
> escreveu:
>
> > Não adianta bloquear, mesmo que seja na caixa do BGP.
> > Tem que evitar que os pacotes com destino ao(s) IP(s) atacado(s) cheguem
> > no seu link.
> >
> > Pode fazer isso pedindo bloqueio pela operadora(como você fez), ou fazer
> > um novo anúncio específico daquele IP com community de black-hole.
> > Geralmente 666.
> >
> > /*Android told-me that this text should be at bottom.*/
> > Em 08/07/2015 22:24, "Andrio Prestes Jasper" <mascaraapj at gmail.com>
> > escreveu:
> >
> >> A uns meses atrás recebemos um ataque que consumiu todo nosso link.
> >>
> >> Mesmo derrubando o cliente e bloqueando o IP para ninguém usar.
> >> Mesmo bloqueando IP origem e destino no firewall.
> >> Mesmo bloqueando IP origem (atacante) no bgp, jogando para null.
> >> O ataque não parava. O atacante estava atacando um IP que ninguém estava
> >> usando, que estava bloqueado no firewall (origem e destino) e no bgp...
> e
> >> me consumindo todo o link.
> >> Coisa de doido.
> >>
> >> Só voltou ao normal quando a operadora bloqueou lá nela.
> >> Em 08/07/2015 20:03, "Douglas Fischer" <fischerdouglas at gmail.com>
> >> escreveu:
> >>
> >> > Pois é...
> >> > Por maiores que sejam as botnets, eu duvido que esses ataques sejam só
> >> de
> >> > ataque distribuído. Tem que ter spoofing na jogada.
> >> >
> >> > Ainda mais com os ataques que eu andei pegando há uns meses atrás, com
> >> > múltiplas origens(supostamente) atacando portas não padrão.
> >> >
> >> > OK, existem os bots em redes residenciais, mas redes corporativas
> >> costumam
> >> > ter porta de destino limitadas a navegação e email. Como é que esses
> >> hosts
> >> > alcançam portas não padrão?
> >> >
> >> > E se tem spoofing, tem que ter uma mudança de comportamento no
> tráfego.
> >> > E se tem mudança de comportamento, tem como identificar.
> >> > E olha que os requisitos para identificar isso não são maiores que
> >> coleta
> >> > de contadores de tráfego via SNMP.
> >> >
> >> > /*Android told-me that this text should be at bottom.*/
> >> > Em 08/07/2015 20:41, "Rodrigo Augusto" <rodrigo at 1telecom.com.br>
> >> escreveu:
> >> >
> >> > > O auxilio nao precisaria nem ser muitoŠŠ a vezes, em sua maioria, os
> >> > > ataques sao para saturar a banda, e seria interessante se a
> operadora
> >> > > apenas identificasse por onde este fluxo entrouŠ sao tráfegos de 10,
> >> 15
> >> > GB
> >> > > em alguns casos, creio que dá para notar em determinado horário por
> >> onde
> >> > > este fluxo entrouŠ.e por aí vai até chegar de onde o fluxo saiuŠ
> >> > >
> >> > > Rodrigo Augusto
> >> > > Gestor de T.I. Grupo Connectoway
> >> > > http://www.connectoway.com.br <http://www.connectoway.com.br/>
> >> > > http://www.1telecom.com.br <http://www.1telecom.com.br/>
> >> > > * rodrigo at connectoway.com.br
> >> > > ( (81) 3497-6060
> >> > > ( (81) 8184-3646
> >> > > ( INOC-DBA 52965*100
> >> > >
> >> > >
> >> > >
> >> > >
> >> > > On 08/07/15 19:02, "Douglas Fischer" <fischerdouglas at gmail.com>
> >> wrote:
> >> > >
> >> > > >Mudando um pouquinho o foco da thread, mas ainda na mesma linha.
> >> > > >
> >> > > >Fico aqui me perguntando o quanto realmente é inviável para uma
> >> > operadora
> >> > > >do porte de OI/GVT/L3 auxiliar no rastreio desses ataques...
> >> > > >
> >> > > >Em 8 de julho de 2015 18:46, Rubens Kuhl <rubensk at gmail.com>
> >> escreveu:
> >> > > >
> >> > > >> 2015-07-08 18:03 GMT-03:00 Eduardo Rigler <erigler at gmail.com>:
> >> > > >>
> >> > > >> > Os caras f****** com meio mundo e o pessoal cheio de dedos pra
> >> dar
> >> > > >>nomes
> >> > > >> > aos bois. Não é a primeira vez que essa thread pipoca no meu
> >> e-mail
> >> > > >> > exatamente da mesma forma.
> >> > > >> >
> >> > > >> > Se depois de um ataque o camarada lembra imediatamente de
> "certa
> >> > > >>empresa
> >> > > >> > que fez contato oferecendo blablbala dias", só sendo muito
> >> inocente
> >> > ou
> >> > > >> > burro pra não achar que tem caroço nesse angu.
> >> > > >> >
> >> > > >>
> >> > > >> Considerando as possíveis implicações como calúnia e difamação,
> >> para
> >> > as
> >> > > >> quais há jurisprudência de ser extensível a empresas, é esperável
> >> esse
> >> > > >>tipo
> >> > > >> de receio.
> >> > > >>
> >> > > >> Lembrando que há pelo menos uma maneira de saber que redes estão
> >> sob
> >> > > >>alguns
> >> > > >> tipos de DoS: anunciar um bloco não alocado e coletar o tráfego
> que
> >> > > >>chega
> >> > > >> até ele. Parte será de redes sob ataques de spoofing com IP
> >> aleatório;
> >> > > >>nem
> >> > > >> todos os DoS se enquadram nesse perfil, claro.
> >> > > >>
> >> > > >>
> >> > > >> Rubens
> >> > > >> _______________________________________________
> >> > > >> caiu mailing list
> >> > > >> caiu at eng.registro.br
> >> > > >> https://eng.registro.br/mailman/listinfo/caiu
> >> > > >>
> >> > > >>
> >> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >> > > >>
> >> > > >> https://eng.registro.br/mailman/options/caiu
> >> > > >>
> >> > > >
> >> > > >
> >> > > >
> >> > > >--
> >> > > >Douglas Fernando Fischer
> >> > > >Engº de Controle e Automação
> >> > > >_______________________________________________
> >> > > >caiu mailing list
> >> > > >caiu at eng.registro.br
> >> > > >https://eng.registro.br/mailman/listinfo/caiu
> >> > > >
> >> > > >
> >> > > >--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >> > > >
> >> > > >https://eng.registro.br/mailman/options/caiu
> >> > >
> >> > >
> >> > > _______________________________________________
> >> > > caiu mailing list
> >> > > caiu at eng.registro.br
> >> > > https://eng.registro.br/mailman/listinfo/caiu
> >> > >
> >> > >
> >> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >> > >
> >> > > https://eng.registro.br/mailman/options/caiu
> >> > >
> >> > _______________________________________________
> >> > caiu mailing list
> >> > caiu at eng.registro.br
> >> > https://eng.registro.br/mailman/listinfo/caiu
> >> >
> >> >
> >> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >> >
> >> > https://eng.registro.br/mailman/options/caiu
> >> >
> >> _______________________________________________
> >> caiu mailing list
> >> caiu at eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> >>
> >
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
Mais detalhes sobre a lista de discussão caiu