[caiu] Operadoras sob ataque
Gilberto Leo
gilberto em plug.tv.br
Quinta Julho 9 11:06:15 BRT 2015
ola
Eduado
Tive uns problema igual a esse as uns 4 meses mais parou depois que
contratei um cara bom no negocio , chamdo Patrick Tracanelli
o cara resolveu o meu problema .
site dele : http://freebsdbrasil.com.br/home.php
Em 9 de julho de 2015 09:23, Eduardo Fontinelle - Gerencianet Pagamentos <
eduardo em gerencianet.com.br> escreveu:
> Andrio,
>
> Se o ataque foi volumétrico e saturou a banda com sucesso, não vai adiantar
> você fazer nada. O seu canal de dados vai ficar saturado da mesma forma,
> independente do que você faça na sua borda. A melhor estratégia neste caso
> é identificar o "padrão" e entrar em contato com a operadora pra bloquear
> lá, antes de chegar pra você... Ou contratar algum serviço de mitigação de
> ataque através de sessão bgp.
>
>
>
> Atenciosamente,
>
> *Eduardo Fontinelle*
> *Chief Technology Officer | G**erencianet*
> Phone: +55 (31) 3603-0812
>
>
> Em 9 de julho de 2015 00:36, Andrio Prestes Jasper <mascaraapj em gmail.com>
> escreveu:
>
> > Na época, o rapaz que cuida do bgp aqui chegou a fazer o blackhole, sem
> > sucesso. Ele disse que talvez fosse porque essa função não estava
> > configurado na operadora.
> >
> > Por via das dúvidas, caso precise novamente no futuro e não consigamos
> > contato com o rapaz que cuida OU mesmo para que eu posso verificar se ele
> > fez corretamente... Alguém aí poderia me passar o comando para fazer o
> > blackhole no mikrotik?
> > Em 08/07/2015 22:13, "CTBC Telecom" <algartelecom em gmail.com> escreveu:
> >
> > > A maioria das operadoras só aceita black-hole de prefixo /32...
> > > Você poderia anunciar os 256 /32, mas daria muito trabalho.
> > >
> > > 2015-07-08 23:05 GMT-03:00 Douglas Fischer <fischerdouglas em gmail.com>:
> > >
> > > > Me bateu ma dúvida:
> > > >
> > > > Se o desespero for tão grande a ponto de eu sacrificar um /24(ou até
> > > > maior), e eu anunciar esse prefixo com black-hole, esse anúncio vai
> > > > transbordar mundo afora?
> > > >
> > > > /*Android told-me that this text should be at bottom.*/
> > > > Em 08/07/2015 22:36, "Douglas Fischer" <fischerdouglas em gmail.com>
> > > > escreveu:
> > > >
> > > > > Não adianta bloquear, mesmo que seja na caixa do BGP.
> > > > > Tem que evitar que os pacotes com destino ao(s) IP(s) atacado(s)
> > > cheguem
> > > > > no seu link.
> > > > >
> > > > > Pode fazer isso pedindo bloqueio pela operadora(como você fez), ou
> > > fazer
> > > > > um novo anúncio específico daquele IP com community de black-hole.
> > > > > Geralmente 666.
> > > > >
> > > > > /*Android told-me that this text should be at bottom.*/
> > > > > Em 08/07/2015 22:24, "Andrio Prestes Jasper" <mascaraapj em gmail.com
> >
> > > > > escreveu:
> > > > >
> > > > >> A uns meses atrás recebemos um ataque que consumiu todo nosso
> link.
> > > > >>
> > > > >> Mesmo derrubando o cliente e bloqueando o IP para ninguém usar.
> > > > >> Mesmo bloqueando IP origem e destino no firewall.
> > > > >> Mesmo bloqueando IP origem (atacante) no bgp, jogando para null.
> > > > >> O ataque não parava. O atacante estava atacando um IP que ninguém
> > > estava
> > > > >> usando, que estava bloqueado no firewall (origem e destino) e no
> > > bgp...
> > > > e
> > > > >> me consumindo todo o link.
> > > > >> Coisa de doido.
> > > > >>
> > > > >> Só voltou ao normal quando a operadora bloqueou lá nela.
> > > > >> Em 08/07/2015 20:03, "Douglas Fischer" <fischerdouglas em gmail.com>
> > > > >> escreveu:
> > > > >>
> > > > >> > Pois é...
> > > > >> > Por maiores que sejam as botnets, eu duvido que esses ataques
> > sejam
> > > só
> > > > >> de
> > > > >> > ataque distribuído. Tem que ter spoofing na jogada.
> > > > >> >
> > > > >> > Ainda mais com os ataques que eu andei pegando há uns meses
> atrás,
> > > com
> > > > >> > múltiplas origens(supostamente) atacando portas não padrão.
> > > > >> >
> > > > >> > OK, existem os bots em redes residenciais, mas redes
> corporativas
> > > > >> costumam
> > > > >> > ter porta de destino limitadas a navegação e email. Como é que
> > esses
> > > > >> hosts
> > > > >> > alcançam portas não padrão?
> > > > >> >
> > > > >> > E se tem spoofing, tem que ter uma mudança de comportamento no
> > > > tráfego.
> > > > >> > E se tem mudança de comportamento, tem como identificar.
> > > > >> > E olha que os requisitos para identificar isso não são maiores
> que
> > > > >> coleta
> > > > >> > de contadores de tráfego via SNMP.
> > > > >> >
> > > > >> > /*Android told-me that this text should be at bottom.*/
> > > > >> > Em 08/07/2015 20:41, "Rodrigo Augusto" <rodrigo em 1telecom.com.br
> >
> > > > >> escreveu:
> > > > >> >
> > > > >> > > O auxilio nao precisaria nem ser muitoŠŠ a vezes, em sua
> > maioria,
> > > os
> > > > >> > > ataques sao para saturar a banda, e seria interessante se a
> > > > operadora
> > > > >> > > apenas identificasse por onde este fluxo entrouŠ sao tráfegos
> de
> > > 10,
> > > > >> 15
> > > > >> > GB
> > > > >> > > em alguns casos, creio que dá para notar em determinado
> horário
> > > por
> > > > >> onde
> > > > >> > > este fluxo entrouŠ.e por aí vai até chegar de onde o fluxo
> saiuŠ
> > > > >> > >
> > > > >> > > Rodrigo Augusto
> > > > >> > > Gestor de T.I. Grupo Connectoway
> > > > >> > > http://www.connectoway.com.br <http://www.connectoway.com.br/
> >
> > > > >> > > http://www.1telecom.com.br <http://www.1telecom.com.br/>
> > > > >> > > * rodrigo em connectoway.com.br
> > > > >> > > ( (81) 3497-6060
> > > > >> > > ( (81) 8184-3646
> > > > >> > > ( INOC-DBA 52965*100
> > > > >> > >
> > > > >> > >
> > > > >> > >
> > > > >> > >
> > > > >> > > On 08/07/15 19:02, "Douglas Fischer" <
> fischerdouglas em gmail.com>
> > > > >> wrote:
> > > > >> > >
> > > > >> > > >Mudando um pouquinho o foco da thread, mas ainda na mesma
> > linha.
> > > > >> > > >
> > > > >> > > >Fico aqui me perguntando o quanto realmente é inviável para
> uma
> > > > >> > operadora
> > > > >> > > >do porte de OI/GVT/L3 auxiliar no rastreio desses ataques...
> > > > >> > > >
> > > > >> > > >Em 8 de julho de 2015 18:46, Rubens Kuhl <rubensk em gmail.com>
> > > > >> escreveu:
> > > > >> > > >
> > > > >> > > >> 2015-07-08 18:03 GMT-03:00 Eduardo Rigler <
> erigler em gmail.com
> > >:
> > > > >> > > >>
> > > > >> > > >> > Os caras f****** com meio mundo e o pessoal cheio de
> dedos
> > > pra
> > > > >> dar
> > > > >> > > >>nomes
> > > > >> > > >> > aos bois. Não é a primeira vez que essa thread pipoca no
> > meu
> > > > >> e-mail
> > > > >> > > >> > exatamente da mesma forma.
> > > > >> > > >> >
> > > > >> > > >> > Se depois de um ataque o camarada lembra imediatamente de
> > > > "certa
> > > > >> > > >>empresa
> > > > >> > > >> > que fez contato oferecendo blablbala dias", só sendo
> muito
> > > > >> inocente
> > > > >> > ou
> > > > >> > > >> > burro pra não achar que tem caroço nesse angu.
> > > > >> > > >> >
> > > > >> > > >>
> > > > >> > > >> Considerando as possíveis implicações como calúnia e
> > difamação,
> > > > >> para
> > > > >> > as
> > > > >> > > >> quais há jurisprudência de ser extensível a empresas, é
> > > esperável
> > > > >> esse
> > > > >> > > >>tipo
> > > > >> > > >> de receio.
> > > > >> > > >>
> > > > >> > > >> Lembrando que há pelo menos uma maneira de saber que redes
> > > estão
> > > > >> sob
> > > > >> > > >>alguns
> > > > >> > > >> tipos de DoS: anunciar um bloco não alocado e coletar o
> > tráfego
> > > > que
> > > > >> > > >>chega
> > > > >> > > >> até ele. Parte será de redes sob ataques de spoofing com IP
> > > > >> aleatório;
> > > > >> > > >>nem
> > > > >> > > >> todos os DoS se enquadram nesse perfil, claro.
> > > > >> > > >>
> > > > >> > > >>
> > > > >> > > >> Rubens
> > > > >> > > >> _______________________________________________
> > > > >> > > >> caiu mailing list
> > > > >> > > >> caiu em eng.registro.br
> > > > >> > > >> https://eng.registro.br/mailman/listinfo/caiu
> > > > >> > > >>
> > > > >> > > >>
> > > > >> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >> > > >>
> > > > >> > > >> https://eng.registro.br/mailman/options/caiu
> > > > >> > > >>
> > > > >> > > >
> > > > >> > > >
> > > > >> > > >
> > > > >> > > >--
> > > > >> > > >Douglas Fernando Fischer
> > > > >> > > >Engº de Controle e Automação
> > > > >> > > >_______________________________________________
> > > > >> > > >caiu mailing list
> > > > >> > > >caiu em eng.registro.br
> > > > >> > > >https://eng.registro.br/mailman/listinfo/caiu
> > > > >> > > >
> > > > >> > > >
> > > > >> > > >--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >> > > >
> > > > >> > > >https://eng.registro.br/mailman/options/caiu
> > > > >> > >
> > > > >> > >
> > > > >> > > _______________________________________________
> > > > >> > > caiu mailing list
> > > > >> > > caiu em eng.registro.br
> > > > >> > > https://eng.registro.br/mailman/listinfo/caiu
> > > > >> > >
> > > > >> > >
> > > > >> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >> > >
> > > > >> > > https://eng.registro.br/mailman/options/caiu
> > > > >> > >
> > > > >> > _______________________________________________
> > > > >> > caiu mailing list
> > > > >> > caiu em eng.registro.br
> > > > >> > https://eng.registro.br/mailman/listinfo/caiu
> > > > >> >
> > > > >> >
> > > > >> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >> >
> > > > >> > https://eng.registro.br/mailman/options/caiu
> > > > >> >
> > > > >> _______________________________________________
> > > > >> caiu mailing list
> > > > >> caiu em eng.registro.br
> > > > >> https://eng.registro.br/mailman/listinfo/caiu
> > > > >>
> > > > >>
> > > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >>
> > > > >> https://eng.registro.br/mailman/options/caiu
> > > > >>
> > > > >
> > > > _______________________________________________
> > > > caiu mailing list
> > > > caiu em eng.registro.br
> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > > https://eng.registro.br/mailman/options/caiu
> > > >
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
--
*GILBERTO LEO DE SOUZA*
*COORDENADOR SUPORTE TECNICO /COMPRAS*
*www.plug.tv.br <http://www.plug.tv.br>*
*www.ts.ind.br <http://www.ts.ind.br>*
*TEL: 55 44 3518 3200*
*Rua Harisson José Borges, 692 CEP: 87300-380 - Campo Mourão - PR*
Mais detalhes sobre a lista de discussão caiu