[caiu] Operadoras sob ataque
Andrio Prestes Jasper
mascaraapj em gmail.com
Quinta Julho 9 00:36:07 BRT 2015
Na época, o rapaz que cuida do bgp aqui chegou a fazer o blackhole, sem
sucesso. Ele disse que talvez fosse porque essa função não estava
configurado na operadora.
Por via das dúvidas, caso precise novamente no futuro e não consigamos
contato com o rapaz que cuida OU mesmo para que eu posso verificar se ele
fez corretamente... Alguém aí poderia me passar o comando para fazer o
blackhole no mikrotik?
Em 08/07/2015 22:13, "CTBC Telecom" <algartelecom em gmail.com> escreveu:
> A maioria das operadoras só aceita black-hole de prefixo /32...
> Você poderia anunciar os 256 /32, mas daria muito trabalho.
>
> 2015-07-08 23:05 GMT-03:00 Douglas Fischer <fischerdouglas em gmail.com>:
>
> > Me bateu ma dúvida:
> >
> > Se o desespero for tão grande a ponto de eu sacrificar um /24(ou até
> > maior), e eu anunciar esse prefixo com black-hole, esse anúncio vai
> > transbordar mundo afora?
> >
> > /*Android told-me that this text should be at bottom.*/
> > Em 08/07/2015 22:36, "Douglas Fischer" <fischerdouglas em gmail.com>
> > escreveu:
> >
> > > Não adianta bloquear, mesmo que seja na caixa do BGP.
> > > Tem que evitar que os pacotes com destino ao(s) IP(s) atacado(s)
> cheguem
> > > no seu link.
> > >
> > > Pode fazer isso pedindo bloqueio pela operadora(como você fez), ou
> fazer
> > > um novo anúncio específico daquele IP com community de black-hole.
> > > Geralmente 666.
> > >
> > > /*Android told-me that this text should be at bottom.*/
> > > Em 08/07/2015 22:24, "Andrio Prestes Jasper" <mascaraapj em gmail.com>
> > > escreveu:
> > >
> > >> A uns meses atrás recebemos um ataque que consumiu todo nosso link.
> > >>
> > >> Mesmo derrubando o cliente e bloqueando o IP para ninguém usar.
> > >> Mesmo bloqueando IP origem e destino no firewall.
> > >> Mesmo bloqueando IP origem (atacante) no bgp, jogando para null.
> > >> O ataque não parava. O atacante estava atacando um IP que ninguém
> estava
> > >> usando, que estava bloqueado no firewall (origem e destino) e no
> bgp...
> > e
> > >> me consumindo todo o link.
> > >> Coisa de doido.
> > >>
> > >> Só voltou ao normal quando a operadora bloqueou lá nela.
> > >> Em 08/07/2015 20:03, "Douglas Fischer" <fischerdouglas em gmail.com>
> > >> escreveu:
> > >>
> > >> > Pois é...
> > >> > Por maiores que sejam as botnets, eu duvido que esses ataques sejam
> só
> > >> de
> > >> > ataque distribuído. Tem que ter spoofing na jogada.
> > >> >
> > >> > Ainda mais com os ataques que eu andei pegando há uns meses atrás,
> com
> > >> > múltiplas origens(supostamente) atacando portas não padrão.
> > >> >
> > >> > OK, existem os bots em redes residenciais, mas redes corporativas
> > >> costumam
> > >> > ter porta de destino limitadas a navegação e email. Como é que esses
> > >> hosts
> > >> > alcançam portas não padrão?
> > >> >
> > >> > E se tem spoofing, tem que ter uma mudança de comportamento no
> > tráfego.
> > >> > E se tem mudança de comportamento, tem como identificar.
> > >> > E olha que os requisitos para identificar isso não são maiores que
> > >> coleta
> > >> > de contadores de tráfego via SNMP.
> > >> >
> > >> > /*Android told-me that this text should be at bottom.*/
> > >> > Em 08/07/2015 20:41, "Rodrigo Augusto" <rodrigo em 1telecom.com.br>
> > >> escreveu:
> > >> >
> > >> > > O auxilio nao precisaria nem ser muitoŠŠ a vezes, em sua maioria,
> os
> > >> > > ataques sao para saturar a banda, e seria interessante se a
> > operadora
> > >> > > apenas identificasse por onde este fluxo entrouŠ sao tráfegos de
> 10,
> > >> 15
> > >> > GB
> > >> > > em alguns casos, creio que dá para notar em determinado horário
> por
> > >> onde
> > >> > > este fluxo entrouŠ.e por aí vai até chegar de onde o fluxo saiuŠ
> > >> > >
> > >> > > Rodrigo Augusto
> > >> > > Gestor de T.I. Grupo Connectoway
> > >> > > http://www.connectoway.com.br <http://www.connectoway.com.br/>
> > >> > > http://www.1telecom.com.br <http://www.1telecom.com.br/>
> > >> > > * rodrigo em connectoway.com.br
> > >> > > ( (81) 3497-6060
> > >> > > ( (81) 8184-3646
> > >> > > ( INOC-DBA 52965*100
> > >> > >
> > >> > >
> > >> > >
> > >> > >
> > >> > > On 08/07/15 19:02, "Douglas Fischer" <fischerdouglas em gmail.com>
> > >> wrote:
> > >> > >
> > >> > > >Mudando um pouquinho o foco da thread, mas ainda na mesma linha.
> > >> > > >
> > >> > > >Fico aqui me perguntando o quanto realmente é inviável para uma
> > >> > operadora
> > >> > > >do porte de OI/GVT/L3 auxiliar no rastreio desses ataques...
> > >> > > >
> > >> > > >Em 8 de julho de 2015 18:46, Rubens Kuhl <rubensk em gmail.com>
> > >> escreveu:
> > >> > > >
> > >> > > >> 2015-07-08 18:03 GMT-03:00 Eduardo Rigler <erigler em gmail.com>:
> > >> > > >>
> > >> > > >> > Os caras f****** com meio mundo e o pessoal cheio de dedos
> pra
> > >> dar
> > >> > > >>nomes
> > >> > > >> > aos bois. Não é a primeira vez que essa thread pipoca no meu
> > >> e-mail
> > >> > > >> > exatamente da mesma forma.
> > >> > > >> >
> > >> > > >> > Se depois de um ataque o camarada lembra imediatamente de
> > "certa
> > >> > > >>empresa
> > >> > > >> > que fez contato oferecendo blablbala dias", só sendo muito
> > >> inocente
> > >> > ou
> > >> > > >> > burro pra não achar que tem caroço nesse angu.
> > >> > > >> >
> > >> > > >>
> > >> > > >> Considerando as possíveis implicações como calúnia e difamação,
> > >> para
> > >> > as
> > >> > > >> quais há jurisprudência de ser extensível a empresas, é
> esperável
> > >> esse
> > >> > > >>tipo
> > >> > > >> de receio.
> > >> > > >>
> > >> > > >> Lembrando que há pelo menos uma maneira de saber que redes
> estão
> > >> sob
> > >> > > >>alguns
> > >> > > >> tipos de DoS: anunciar um bloco não alocado e coletar o tráfego
> > que
> > >> > > >>chega
> > >> > > >> até ele. Parte será de redes sob ataques de spoofing com IP
> > >> aleatório;
> > >> > > >>nem
> > >> > > >> todos os DoS se enquadram nesse perfil, claro.
> > >> > > >>
> > >> > > >>
> > >> > > >> Rubens
> > >> > > >> _______________________________________________
> > >> > > >> caiu mailing list
> > >> > > >> caiu em eng.registro.br
> > >> > > >> https://eng.registro.br/mailman/listinfo/caiu
> > >> > > >>
> > >> > > >>
> > >> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >> > > >>
> > >> > > >> https://eng.registro.br/mailman/options/caiu
> > >> > > >>
> > >> > > >
> > >> > > >
> > >> > > >
> > >> > > >--
> > >> > > >Douglas Fernando Fischer
> > >> > > >Engº de Controle e Automação
> > >> > > >_______________________________________________
> > >> > > >caiu mailing list
> > >> > > >caiu em eng.registro.br
> > >> > > >https://eng.registro.br/mailman/listinfo/caiu
> > >> > > >
> > >> > > >
> > >> > > >--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >> > > >
> > >> > > >https://eng.registro.br/mailman/options/caiu
> > >> > >
> > >> > >
> > >> > > _______________________________________________
> > >> > > caiu mailing list
> > >> > > caiu em eng.registro.br
> > >> > > https://eng.registro.br/mailman/listinfo/caiu
> > >> > >
> > >> > >
> > >> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >> > >
> > >> > > https://eng.registro.br/mailman/options/caiu
> > >> > >
> > >> > _______________________________________________
> > >> > caiu mailing list
> > >> > caiu em eng.registro.br
> > >> > https://eng.registro.br/mailman/listinfo/caiu
> > >> >
> > >> >
> > >> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >> >
> > >> > https://eng.registro.br/mailman/options/caiu
> > >> >
> > >> _______________________________________________
> > >> caiu mailing list
> > >> caiu em eng.registro.br
> > >> https://eng.registro.br/mailman/listinfo/caiu
> > >>
> > >>
> > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>
> > >> https://eng.registro.br/mailman/options/caiu
> > >>
> > >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
Mais detalhes sobre a lista de discussão caiu