[caiu] RES: Operadoras sob ataque

Douglas Fischer fischerdouglas em gmail.com
Segunda Julho 13 09:58:12 BRT 2015


​Salvo engano, para ativar o pacote tem que passar duas vezes pelas tabelas
FIB.

1ª vez pela RIB, para ver se o IP de origem do pacote bate com alguma rota
anunciada pela interface que ele veio.

2ª vez pela FIB, para efetivamente encaminhar o pacote.


Só aí já temos um incremento de latência.
Mas sei que algumas plataformas dependem da CPU para fazer a 1ª checagem,
impedindo assim o uso de ASICs, FPGAs, ou até o FastPath do MK.



Em 13 de julho de 2015 09:45, Alexandre Guimaraes <
alexandre.guimaraes em ascenty.com> escreveu:

> Eduardo,
>         Qual o pênalti em ativar? Aumento de memória e CPU?
>
>
>
>
> alexandre
> -----Mensagem original-----
> De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de Eduardo
> Schoedler
> Enviada em: sexta-feira, 10 de julho de 2015 17:12
> Para: Lista das indisponibilidades da Internet brasileira
> Assunto: Re: [caiu] Operadoras sob ataque
>
> Provavelmente é tráfego com ip de origem forjado.
>
> Enquanto 100% dos roteadores não tiverem rpf-check habilitado, fica
> impossível mitigar ataque.
>
> --
> Eduardo Schoedler
>
>
> Em sexta-feira, 10 de julho de 2015, Diego Duarte <
> diego.fl.duarte em gmail.com>
> escreveu:
>
> > Rackspace? Estranho... Normalmente eles tem ferramentas de IDS p
> > evitar isso.
> >
> > Claro, algo sempre pode escapar. De qualquer forma, escreva p eles, pq
> > eles costumam ser mais resposaveis que a OVH.
> >
> >
> >
> >
> > --
> >
> >
> > Att,
> >
> > Diego F. Duarte
> >
> > Contato:
> > +55 (31) 9814-4622 (Vivo)
> > +55 (31) 9179-5800 (TIM)
> >
> > Em 10 de julho de 2015 09:57, Leandro de Lima Camargo <
> > leandrobachero em gmail.com <javascript:;>> escreveu:
> >
> > > DDDoS forte recebido hoje em um AS.
> > > Origem: 104.130.247.175
> > > Porta: 48757
> > >
> > > Mas não teve nenhuma oferta de bloqueio DDDoS, ou algo do tipo.
> > > Pelo menos, por enquanto...
> > >
> > >
> > >
> > >
> > > Atenciosamente
> > > *Leandro de Lima Camargo*
> > >
> > >
> > > 2015-07-10 9:14 GMT-03:00 Fábio - RJ Network <fabio em rjnetwork.com.br
> > <javascript:;>>:
> > >
> > > > Depois de dois ataques volumétricos recebemos email com oferta de
> > > proteção
> > > > DDoS.
> > > >
> > > > De maneira alguma digo que eles foram os responsáveis, mas me
> > > > incomoda muito a situação em que ocorreram essas ofertas.
> > > >
> > > > Uma delas veio no meu email que não é contato técnico de nenhum ASN.
> > > >
> > > >
> > > >
> > > > --
> > > > Fábio R. Hernandes
> > > > RJ Network - Tecnologia Integrada
> > > > Fone: (17) 3211 4211
> > > > www.rjnetwork.com.br
> > > >
> > > >
> > > > 2015-07-10 8:57 GMT-03:00 Rodrigo - LoopHOST Internet <
> > > > rodrigo em loophost.com.br <javascript:;>>:
> > > >
> > > > > Lembrando que o CloudFlare no plano gratuito não mitiga ataques
> > > > > de
> > > > layer7.
> > > > >
> > > > > Recomendo fortemente a Sucuri, que é mais barata e é mais
> > > > > eficiente
> > > para
> > > > > ataques.
> > > > >
> > > > > No início da semana recebemos um ataque volumétrico de 136Gbps
> > > > > com
> > pico
> > > > de
> > > > > 44.5Mpps. Infelizmente a única maneira é ter um serviço de
> > > > > proteção
> > > > gringo.
> > > > >
> > > > >
> > > > > On 09/07/2015 18:43, noc.rodrigo.araujo em itmnetworks.com.br
> > <javascript:;> wrote:
> > > > >
> > > > >> DDoS infelizmente esta global
> > > > >>   quem tem " a solucao  " , esta tentando vender e todas sao
> > > > >> bem
> > > vindas
> > > > >>      sinceramente nao quero pensar que quem vende solucao "faz
> > > > >> o ato inverso"
> > > > >>   eu particularmente falando nao acredito nisso
> > > > >>      Desculpe perguntar, eu respondo aki apenas o que leio,
> > > independente
> > > > >> de quem escreve, mas quem iniciou a conversa ? td certo por la ?
> > > > conseguiu
> > > > >> resolver os problemas ? mesmo que parcialmente. qual solucao
> > > > >> adotou
> > ?
> > > > >>         []'s Rodrigo Araujo
> > > > >>   Diretor TI/CIO
> > > > >>   ITMNETWORKS
> > > > >>
> > > > >> ----------------------------------------
> > > > >>   From: "Diego Duarte" <diego.fl.duarte em gmail.com
> > > > >> <javascript:;>>
> > > > >> Sent: Thursday, July 09, 2015 6:13 PM
> > > > >> To: "Lista das indisponibilidades da Internet brasileira" <
> > > > >> caiu em eng.registro.br <javascript:;>>
> > > > >> Subject: Re: [caiu] Operadoras sob ataque A máfia ta forte,
> > > > >> heim? (e parece que o baguio é global).
> > > > >>
> > > > >> Recebi um spam aqui no Linkedin, com um suposto serviço de
> > > > >> proteção
> > > DDoS
> > > > >> pra servidores cloud computing.
> > > > >>
> > > > >> Tenso...
> > > > >>
> > > > >> --
> > > > >>
> > > > >> Att,
> > > > >>
> > > > >> Diego F. Duarte
> > > > >>
> > > > >> Contato:
> > > > >> +55 (31) 9814-4622 (Vivo)
> > > > >> +55 (31) 9179-5800 (TIM)
> > > > >>
> > > > >> Em 9 de julho de 2015 17:07, Guilherme Boing <kolt em frag.com.br
> > <javascript:;>>
> > > > escreveu:
> > > > >>
> > > > >>  Da última vez que testei a CloudFlare, a proteção básica
> > > > >> gratuita
> > já
> > > > era
> > > > >>> suficiente.
> > > > >>>
> > > > >>> 2015-07-09 17:05 GMT-03:00
> > > > >>> noc.rodrigo.araujo em itmnetworks.com.br
> > <javascript:;> <
> > > > >>> noc.rodrigo.araujo em itmnetworks.com.br <javascript:;>>:
> > > > >>>
> > > > >>>  Recebo por aqui as vezes DDoS de 12Gbps com mais de 550Mpps,
> > > > >>> nao
> > da
> > > > para
> > > > >>>> especificar a localizacao, quando vem, vem de todo planeta
> > > > >>>>
> > > > >>>> cloudflare.com me ajudou bastante, se seu negocio é
> > > > >>>> hospedagem de
> > > > site,
> > > > >>>> tenta achar o dominio target do ataque, move ele para uma
> > > > >>>> conta
> > > > >>>>
> > > > >>> cloudflare,
> > > > >>>
> > > > >>>> mesmo q saia do seu bolso, só para tirar a teima, o planinho
> > > > >>>> deles
> > > de
> > > > >>>> $20
> > > > >>>> doletas ja da para fazer testes
> > > > >>>>
> > > > >>>> agora se o ataque é direcional ao IP :-) = Null route é a
> > > > >>>> unica
> > > > solucao
> > > > >>>> que eu conheço
> > > > >>>>
> > > > >>>> quanto vcs ja conseguiram apurar de velocidade e pps nos
> > > > >>>> ultimos
> > > > >>>>
> > > > >>> ataques ?
> > > > >>>
> > > > >>>> por quanto tempo configuraram null route ? (qual pratica
> > > > >>>> utilizam
> > de
> > > > >>>> tempo OFFLINE para "resolver" ?) quanto tempo durou o ataque
> > > > >>>> ?
> > > > >>>>
> > > > >>>>
> > > > >>>>
> > > > >>>> []'s Rodrigo Araujo
> > > > >>>> Diretor de TI / CIO
> > > > >>>> ITMNETWORKS
> > > > >>>>
> > > > >>>>
> > > > >>>>
> > > > >>>>
> > > > >>>> ----------------------------------------
> > > > >>>> From: "Marcel Figueiredo" <marcel em gerenciamento.com.br
> > <javascript:;>>
> > > > >>>> Sent: Thursday, July 09, 2015 4:52 PM
> > > > >>>> To: "Lista das indisponibilidades da Internet brasileira" <
> > > > >>>> caiu em eng.registro.br <javascript:;>>
> > > > >>>> Subject: Re: [caiu] Operadoras sob ataque Qual origem dos
> > > > >>>> ataques?
> > > > >>>> Em 08/07/2015 14:28, "VPNVyrtual.Com" <vpnvyrtual em gmail.com
> > <javascript:;>>
> > > > escreveu:
> > > > >>>>
> > > > >>>>  No dia de ontem ASs que estavam vindo via Embratel e
> > > > >>>> Vivo/GVT sob
> > > > >>>>>
> > > > >>>> ataque
> > > > >>>
> > > > >>>> em
> > > > >>>>
> > > > >>>>> Brasilia e Cuiaba que se tem noticia.
> > > > >>>>>
> > > > >>>>> Meu AS foi atacado no sabado e consegui conter aqui
> > > > >>>>> filtrando a
> > > Flag
> > > > >>>>>
> > > > >>>> SYN.
> > > > >>>
> > > > >>>> Mas tenho noticias de empresas que tem mais de 2 Gbps de
> > > > >>>> banda que
> > > > >>>>>
> > > > >>>> foram
> > > > >>>
> > > > >>>> ao
> > > > >>>>
> > > > >>>>> chão por negação de serviços. A VIVO esta bloqueando na
> > > > >>>>> infra
> > deles
> > > > mas
> > > > >>>>> Embratel nada ainda.
> > > > >>>>> São Paulo tambem houveram incidentes de DDOS por BotNet.
> > > > >>>>>
> > > > >>>>> Mais alguem?
> > > > >>>>>
> > > > >>>>> --
> > > > >>>>> VPNVyrtual - Netowork Solution Provider "O Impossível é o
> > > > >>>>> Nosso Objetivo"
> > > > >>>>> 8425-0580 / 9615-9909 / 66-3498-9388 MSN =
> > > > >>>>> vpnvyrtual em gmail.com <javascript:;> Skype = vpnvyrtual
> > > > >>>>> _______________________________________________
> > > > >>>>> caiu mailing list
> > > > >>>>> caiu em eng.registro.br <javascript:;>
> > > > >>>>> https://eng.registro.br/mailman/listinfo/caiu
> > > > >>>>>
> > > > >>>>>
> > > > >>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >>>>>
> > > > >>>>> https://eng.registro.br/mailman/options/caiu
> > > > >>>>>
> > > > >>>>>  _______________________________________________
> > > > >>>> caiu mailing list
> > > > >>>> caiu em eng.registro.br <javascript:;>
> > > > >>>> https://eng.registro.br/mailman/listinfo/caiu
> > > > >>>>
> > > > >>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >>>>
> > > > >>>> https://eng.registro.br/mailman/options/caiu
> > > > >>>>
> > > > >>>>
> > > > >>>> _______________________________________________
> > > > >>>> caiu mailing list
> > > > >>>> caiu em eng.registro.br <javascript:;>
> > > > >>>> https://eng.registro.br/mailman/listinfo/caiu
> > > > >>>>
> > > > >>>>
> > > > >>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >>>>
> > > > >>>> https://eng.registro.br/mailman/options/caiu
> > > > >>>>
> > > > >>>>  _______________________________________________
> > > > >>> caiu mailing list
> > > > >>> caiu em eng.registro.br <javascript:;>
> > > > >>> https://eng.registro.br/mailman/listinfo/caiu
> > > > >>>
> > > > >>>
> > > > >>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >>>
> > > > >>> https://eng.registro.br/mailman/options/caiu
> > > > >>>
> > > > >>>  _______________________________________________
> > > > >> caiu mailing list
> > > > >> caiu em eng.registro.br <javascript:;>
> > > > >> https://eng.registro.br/mailman/listinfo/caiu
> > > > >>
> > > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >>
> > > > >> https://eng.registro.br/mailman/options/caiu
> > > > >>
> > > > >> _______________________________________________
> > > > >> caiu mailing list
> > > > >> caiu em eng.registro.br <javascript:;>
> > > > >> https://eng.registro.br/mailman/listinfo/caiu
> > > > >>
> > > > >>
> > > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >>
> > > > >> https://eng.registro.br/mailman/options/caiu
> > > > >>
> > > > >
> > > > > --
> > > > >         *Rodrigo Baldasso*
> > > > > Fone: 51 4042-3021
> > > > > rodrigo em loophost.com.br <javascript:;>
> > > > > *www.loophost.com.br*
> > > > >
> > > > >
> > > > >
> > > > > ---
> > > > > Este email foi escaneado pelo Avast antivírus.
> > > > > https://www.avast.com/antivirus
> > > > > _______________________________________________
> > > > > caiu mailing list
> > > > > caiu em eng.registro.br <javascript:;>
> > > > > https://eng.registro.br/mailman/listinfo/caiu
> > > > >
> > > > >
> > > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >
> > > > > https://eng.registro.br/mailman/options/caiu
> > > > >
> > > > _______________________________________________
> > > > caiu mailing list
> > > > caiu em eng.registro.br <javascript:;>
> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > > https://eng.registro.br/mailman/options/caiu
> > > >
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br <javascript:;>
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br <javascript:;>
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
>
>
> --
> Eduardo Schoedler
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação


Mais detalhes sobre a lista de discussão caiu