[caiu] Operadoras sob ataque

Marcelo B. maxthetor em gmail.com
Quarta Julho 8 23:27:11 BRT 2015


Em 8 de julho de 2015 21:02, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

> Pois é...
> Por maiores que sejam as botnets, eu duvido que esses ataques sejam só de
> ataque distribuído. Tem que ter spoofing na jogada.
>
> Ainda mais com os ataques que eu andei pegando há uns meses atrás, com
> múltiplas origens(supostamente) atacando portas não padrão.
>
> OK, existem os bots em redes residenciais, mas redes corporativas costumam
> ter porta de destino limitadas a navegação e email. Como é que esses hosts
> alcançam portas não padrão?
>
> E se tem spoofing, tem que ter uma mudança de comportamento no tráfego.
> E se tem mudança de comportamento, tem como identificar.
> E olha que os requisitos para identificar isso não são maiores que coleta
> de contadores de tráfego via SNMP.
>
>
A modinha e usar porta ntp(123) como origem, e uma aletoria baixa como
destino.
Na maiorias dos casos e spoofado a origem, muitas origens, dando ideia de
DdoS, pode ate nao ser de varias
origens, mas quem ta recebendo  o ataque nao consegue filtro por porta, nem
identificar se um spoof de verdade
ou um DdoS.
Ate porque identificar isso nao ajuda muito, a questao e, quem faz o
filtro?


Mais detalhes sobre a lista de discussão caiu