[caiu] Operadoras sob ataque

Eduardo Fontinelle - Gerencianet Pagamentos eduardo em gerencianet.com.br
Quinta Julho 9 09:23:13 BRT 2015


Andrio,

Se o ataque foi volumétrico e saturou a banda com sucesso, não vai adiantar
você fazer nada. O seu canal de dados vai ficar saturado da mesma forma,
independente do que você faça na sua borda. A melhor estratégia neste caso
é identificar o "padrão" e entrar em contato com a operadora pra bloquear
lá, antes de chegar pra você... Ou contratar algum serviço de mitigação de
ataque através de sessão bgp.



Atenciosamente,

*Eduardo Fontinelle*
*Chief Technology Officer | G**erencianet*
Phone: +55 (31) 3603-0812


Em 9 de julho de 2015 00:36, Andrio Prestes Jasper <mascaraapj em gmail.com>
escreveu:

> Na época,  o rapaz que cuida do bgp aqui chegou a fazer o blackhole, sem
> sucesso. Ele disse que talvez fosse porque essa função não estava
> configurado na operadora.
>
> Por via das dúvidas,  caso precise novamente no futuro e não consigamos
> contato com o rapaz que cuida OU mesmo para que eu posso verificar se ele
> fez corretamente... Alguém aí poderia me passar o comando para fazer o
> blackhole no mikrotik?
> Em 08/07/2015 22:13, "CTBC Telecom" <algartelecom em gmail.com> escreveu:
>
> > A maioria das operadoras só aceita black-hole de prefixo /32...
> > Você poderia anunciar os 256 /32, mas daria muito trabalho.
> >
> > 2015-07-08 23:05 GMT-03:00 Douglas Fischer <fischerdouglas em gmail.com>:
> >
> > > Me bateu ma dúvida:
> > >
> > > Se o desespero for tão grande a ponto de eu sacrificar um /24(ou até
> > > maior), e eu anunciar esse prefixo com black-hole, esse anúncio vai
> > > transbordar mundo afora?
> > >
> > > /*Android told-me that this text should be at bottom.*/
> > > Em 08/07/2015 22:36, "Douglas Fischer" <fischerdouglas em gmail.com>
> > > escreveu:
> > >
> > > > Não adianta bloquear, mesmo que seja na caixa do BGP.
> > > > Tem que evitar que os pacotes com destino ao(s) IP(s) atacado(s)
> > cheguem
> > > > no seu link.
> > > >
> > > > Pode fazer isso pedindo bloqueio pela operadora(como você fez), ou
> > fazer
> > > > um novo anúncio específico daquele IP com community de black-hole.
> > > > Geralmente 666.
> > > >
> > > > /*Android told-me that this text should be at bottom.*/
> > > > Em 08/07/2015 22:24, "Andrio Prestes Jasper" <mascaraapj em gmail.com>
> > > > escreveu:
> > > >
> > > >> A uns meses atrás recebemos um ataque que consumiu todo nosso link.
> > > >>
> > > >> Mesmo derrubando o cliente e bloqueando o IP para ninguém usar.
> > > >> Mesmo bloqueando IP origem e destino no firewall.
> > > >> Mesmo bloqueando IP origem (atacante) no bgp, jogando para null.
> > > >> O ataque não parava. O atacante estava atacando um IP que ninguém
> > estava
> > > >> usando, que estava bloqueado no firewall (origem e destino) e no
> > bgp...
> > > e
> > > >> me consumindo todo o link.
> > > >> Coisa de doido.
> > > >>
> > > >> Só voltou ao normal quando a operadora bloqueou lá nela.
> > > >> Em 08/07/2015 20:03, "Douglas Fischer" <fischerdouglas em gmail.com>
> > > >> escreveu:
> > > >>
> > > >> > Pois é...
> > > >> > Por maiores que sejam as botnets, eu duvido que esses ataques
> sejam
> > só
> > > >> de
> > > >> > ataque distribuído. Tem que ter spoofing na jogada.
> > > >> >
> > > >> > Ainda mais com os ataques que eu andei pegando há uns meses atrás,
> > com
> > > >> > múltiplas origens(supostamente) atacando portas não padrão.
> > > >> >
> > > >> > OK, existem os bots em redes residenciais, mas redes corporativas
> > > >> costumam
> > > >> > ter porta de destino limitadas a navegação e email. Como é que
> esses
> > > >> hosts
> > > >> > alcançam portas não padrão?
> > > >> >
> > > >> > E se tem spoofing, tem que ter uma mudança de comportamento no
> > > tráfego.
> > > >> > E se tem mudança de comportamento, tem como identificar.
> > > >> > E olha que os requisitos para identificar isso não são maiores que
> > > >> coleta
> > > >> > de contadores de tráfego via SNMP.
> > > >> >
> > > >> > /*Android told-me that this text should be at bottom.*/
> > > >> > Em 08/07/2015 20:41, "Rodrigo Augusto" <rodrigo em 1telecom.com.br>
> > > >> escreveu:
> > > >> >
> > > >> > > O auxilio nao precisaria nem ser muitoŠŠ a vezes, em sua
> maioria,
> > os
> > > >> > > ataques sao para saturar a banda, e seria interessante se a
> > > operadora
> > > >> > > apenas identificasse por onde este fluxo entrouŠ sao tráfegos de
> > 10,
> > > >> 15
> > > >> > GB
> > > >> > > em alguns casos, creio que dá para notar em determinado horário
> > por
> > > >> onde
> > > >> > > este fluxo entrouŠ.e por aí vai até chegar de onde o fluxo saiuŠ
> > > >> > >
> > > >> > > Rodrigo Augusto
> > > >> > > Gestor de T.I. Grupo Connectoway
> > > >> > > http://www.connectoway.com.br <http://www.connectoway.com.br/>
> > > >> > > http://www.1telecom.com.br <http://www.1telecom.com.br/>
> > > >> > > * rodrigo em connectoway.com.br
> > > >> > > ( (81) 3497-6060
> > > >> > > ( (81) 8184-3646
> > > >> > > ( INOC-DBA 52965*100
> > > >> > >
> > > >> > >
> > > >> > >
> > > >> > >
> > > >> > > On 08/07/15 19:02, "Douglas Fischer" <fischerdouglas em gmail.com>
> > > >> wrote:
> > > >> > >
> > > >> > > >Mudando um pouquinho o foco da thread, mas ainda na mesma
> linha.
> > > >> > > >
> > > >> > > >Fico aqui me perguntando o quanto realmente é inviável para uma
> > > >> > operadora
> > > >> > > >do porte de OI/GVT/L3 auxiliar no rastreio desses ataques...
> > > >> > > >
> > > >> > > >Em 8 de julho de 2015 18:46, Rubens Kuhl <rubensk em gmail.com>
> > > >> escreveu:
> > > >> > > >
> > > >> > > >> 2015-07-08 18:03 GMT-03:00 Eduardo Rigler <erigler em gmail.com
> >:
> > > >> > > >>
> > > >> > > >> > Os caras f****** com meio mundo e o pessoal cheio de dedos
> > pra
> > > >> dar
> > > >> > > >>nomes
> > > >> > > >> > aos bois. Não é a primeira vez que essa thread pipoca no
> meu
> > > >> e-mail
> > > >> > > >> > exatamente da mesma forma.
> > > >> > > >> >
> > > >> > > >> > Se depois de um ataque o camarada lembra imediatamente de
> > > "certa
> > > >> > > >>empresa
> > > >> > > >> > que fez contato oferecendo blablbala dias", só sendo muito
> > > >> inocente
> > > >> > ou
> > > >> > > >> > burro pra não achar que tem caroço nesse angu.
> > > >> > > >> >
> > > >> > > >>
> > > >> > > >> Considerando as possíveis implicações como calúnia e
> difamação,
> > > >> para
> > > >> > as
> > > >> > > >> quais há jurisprudência de ser extensível a empresas, é
> > esperável
> > > >> esse
> > > >> > > >>tipo
> > > >> > > >> de receio.
> > > >> > > >>
> > > >> > > >> Lembrando que há pelo menos uma maneira de saber que redes
> > estão
> > > >> sob
> > > >> > > >>alguns
> > > >> > > >> tipos de DoS: anunciar um bloco não alocado e coletar o
> tráfego
> > > que
> > > >> > > >>chega
> > > >> > > >> até ele. Parte será de redes sob ataques de spoofing com IP
> > > >> aleatório;
> > > >> > > >>nem
> > > >> > > >> todos os DoS se enquadram nesse perfil, claro.
> > > >> > > >>
> > > >> > > >>
> > > >> > > >> Rubens
> > > >> > > >> _______________________________________________
> > > >> > > >> caiu mailing list
> > > >> > > >> caiu em eng.registro.br
> > > >> > > >> https://eng.registro.br/mailman/listinfo/caiu
> > > >> > > >>
> > > >> > > >>
> > > >> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >> > > >>
> > > >> > > >> https://eng.registro.br/mailman/options/caiu
> > > >> > > >>
> > > >> > > >
> > > >> > > >
> > > >> > > >
> > > >> > > >--
> > > >> > > >Douglas Fernando Fischer
> > > >> > > >Engº de Controle e Automação
> > > >> > > >_______________________________________________
> > > >> > > >caiu mailing list
> > > >> > > >caiu em eng.registro.br
> > > >> > > >https://eng.registro.br/mailman/listinfo/caiu
> > > >> > > >
> > > >> > > >
> > > >> > > >--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >> > > >
> > > >> > > >https://eng.registro.br/mailman/options/caiu
> > > >> > >
> > > >> > >
> > > >> > > _______________________________________________
> > > >> > > caiu mailing list
> > > >> > > caiu em eng.registro.br
> > > >> > > https://eng.registro.br/mailman/listinfo/caiu
> > > >> > >
> > > >> > >
> > > >> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >> > >
> > > >> > > https://eng.registro.br/mailman/options/caiu
> > > >> > >
> > > >> > _______________________________________________
> > > >> > caiu mailing list
> > > >> > caiu em eng.registro.br
> > > >> > https://eng.registro.br/mailman/listinfo/caiu
> > > >> >
> > > >> >
> > > >> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >> >
> > > >> > https://eng.registro.br/mailman/options/caiu
> > > >> >
> > > >> _______________________________________________
> > > >> caiu mailing list
> > > >> caiu em eng.registro.br
> > > >> https://eng.registro.br/mailman/listinfo/caiu
> > > >>
> > > >>
> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >>
> > > >> https://eng.registro.br/mailman/options/caiu
> > > >>
> > > >
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


Mais detalhes sobre a lista de discussão caiu