[caiu] RES: RES: RES: Operadoras Sobre Ataque

Dimas Tomadon dtomadon em gmail.com
Sábado Setembro 26 22:05:57 BRT 2015


me lembro dessa threat, onde alguém comentou de ataque externo direcionado
a porta 1900 (SSDP), minha recomendação !!! Bloqueio nessa porta ou
protocolo ! Aparentemente ataque DDoS de reflexão !

Atenciosamente,

Dimas R. Tomadon - Fatec SCS <http://www.fatecsaocaetano.edu.br/> -
Tecnologia em Segurança da Informação.
Researcher in Forensics Computer
Linux User 550714
ISSA Brazil Membership #: 17055159
dtomadon em gmail.com
dtomadon em hotmail.com
@dtomadon
Linkedin <http://br.linkedin.com/pub/dimas-tomadon/35/552/a2a>
cel : 952-533-827

*Na sociedade da informação, ao mesmo tempo em que as informações são
consideradas o principal patrimônio de uma organização, estão também sob
constante risco, como nunca estiveram antes. Com isso, a segurança da
informação tornou-se um ponto crucial para a sobrevivência das
instituições.*

Em 25 de setembro de 2015 15:50, Caio <caiot5 em gmail.com> escreveu:

> Boa tarde Diego,
>
> Ele não age, apenas alarma, tem relatórios detalhados e histórico, você
> consegue cruzar qualquer tipo de informação que esteja contida nos flows ou
> snmp, bem legal.
>
> 2015-09-24 18:20 GMT-03:00 Diego Canton de Brito <
> diegocanton em ensite.com.br>
> :
>
> > Estou gerando os históricos com NfSen mesmo.
> >
> > Hoje foi o teste final e o FastNetMon notificou e enviou a rota para o BH
> > rapidamente, mal deu tempo de identificar a origem e de aplicar o
> firewall
> > e
> > bloqueou.
> >
> > Interessante então o Trafip, como ele funciona? Alerta ou age sozinho
> para
> > mitigar?
> >
> > Att,
> >
> >
> > -----Mensagem original-----
> > De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de Caio
> > Enviada em: quinta-feira, 24 de setembro de 2015 16:16
> > Para: Lista das indisponibilidades da Internet brasileira
> > Assunto: Re: [caiu] RES: RES: Operadoras Sobre Ataque
> >
> > Apenas pra referência:
> >
> > Vi um colega de uma outra empresa usando o FastNetMon, é bacana, mas peca
> > por não ter o histórico. Se tu não tiver na agulha vendo, corre o risco
> da
> > blackhole ser feita, ou notificada e você não ter a noção do diâmetro do
> > ataque.
> >
> > O TrafIP consegue mitigar quantidades absurdas de tráfego 10Gbps+ sem
> > gargalar o hardware, é muito bacana mesmo, a análise é feita por flows e
> > ele
> > faz algumas coletas no snmp, assim como o outro amigo falou, um produto
> bem
> > bacana.
> >
> > Num outro ambiente de testes tenho um PRTG mitigando, fica um pouco mais
> > confuso, principalmente pra extrair um relatório mas até que quebra o
> > galho.
> >
> > Ouvi falar do Polygraph também, mas pro espectro que preciso, ficaria num
> > valor astronômico.
> >
> > Testamos o ManageEngine também, mas "não aguenta o tranco" quando tem
> > muitos
> > flows pra processar (talvez por ser escrito em java).
> >
> >
> > 2015-09-24 11:54 GMT-03:00 Pablo Antônio Costa <
> > pablo.costa em brainfarma.ind.br>:
> >
> > > Uso trafip para +- 20 links MPLS de +- 20Mb cada. Ótimo com netflow.
> > > SLA View iremos implementar próximo mês parece muito bom. Recomendo o
> > Trafip.
> > >
> > > -----Mensagem original-----
> > > De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de André
> > > Andrade Enviada em: quinta-feira, 24 de setembro de 2015 10:51
> > > Para: Lista das indisponibilidades da Internet brasileira
> > > Assunto: Re: [caiu] RES: Operadoras Sobre Ataque
> > >
> > > Com o trafip vc faz tudo isso é muito mais. Ele tb trabalha com coleta
> > > de flow e usa snmp para localizar as interfaces. Eles tem o SLA VIEW q
> > > esse sim é somente snmp igual cacti prtg e outros.
> > >
> > > Enviado do meu iPhone
> > >
> > > > Em 24/09/2015, às 10:45, Diego Canton de Brito <
> > > diegocanton em ensite.com.br> escreveu:
> > > >
> > > > Não usei esse, mas parece que ele trabalha com SNMP, o NfSen e
> > > > FastNetMon trabalham com Flows(Netflow), estou exportando IpFix dos
> > > > roteadores Juniper e coletando eles no NfSen e FastNetMon, com esses
> > > > dados de flows consigo montar no NfSen gráficos por protocolos, ASN,
> > > CIDR, Portas e interfaces.
> > > > Para identificar ataques e sua origem os flows são como um TORCH do
> > > > RouterOS, desde que se tenha as ferramentas para tratamento.
> > > >
> > > > Para monitoramento de rede parece ser bom, mas Zabbix, PRTG e outros
> > > > fazem o mesmo.
> > > >
> > > > Veja se há diferença:
> > > > http://www.pop-go.rnp.br/docs/flows.pdf
> > > > https://www.pop-ba.rnp.br/pub/WTR2011/MaterialPalestrasMinicursos/Mo
> > > > nI
> > > > PE-Sur
> > > > uagy.pdf
> > > > https://www.youtube.com/watch?v=oipMSiBWB08
> > > >
> > > >
> > > > Att,
> > > >
> > > >
> > > > -----Mensagem original-----
> > > > De: caiu [mailto:caiu-bounces em eng.registro.br] Em nome de André
> > > > Andrade Enviada em: quinta-feira, 24 de setembro de 2015 09:51
> > > > Para: Lista das indisponibilidades da Internet brasileira
> > > > Assunto: Re: [caiu] Operadoras Sobre Ataque
> > > >
> > > > Diego...o que você me fala do Trafip?
> > > > Fiquei estou a pouco mais de 1mês testando a plataforma deles e
> > > > achei bem interessante, não tenho experiencia com outros applice,
> > > > mais esse eu recomendo.
> > > >
> > > > Abraço
> > > >
> > > > Em 24 de setembro de 2015 01:29, Diego Canton de Brito <
> > > > diegocanton em ensite.com.br> escreveu:
> > > >
> > > >>
> > > >>
> > > >> Galera, atualmente implementamos o FastNetMon com ExaBGP, ainda não
> > > >> houve um ataque que atinga o volume configurado, mas é uma ideia
> > > >> que deixo para vocês, isso ajuda a reduzir o tempo de mitigação, se
> > > >> não me engano ele identifica e age em alguns segundos. Antes
> > > >> utilizavamos nfsen para processar os dados de Flows, mas era lento,
> > > >> tentamos programar scripts para reduzir o tempo, mas no fim o
> > > >> FastNetMon se mostrou muito eficiente nos testes.
> > > >>
> > > >> Quanto a BH via Algar, amigo CTBC, me corrija se errado, notei que
> > > >> o discard para SRR, não tenho certeza, fica no roteador de SRR ou
> > > >> RPO, ou seja não é propagado, logo um ataque maior que o transporte
> > > >> gera redução de trafego. Os últimos ataques que recebemos sempre
> > > >> ultrapassaram 2.5Gbps, geralmente UDP Flood, amplificações DNS e
> NTP.
> > > >> Caso eu esteja certo, seria interessante se os IPs anunciados em BH
> > > >> fossem replicados para outros roteadores até chegar nas Bordas de
> > > >> transito da Algar para serem mitigados antes de comprometer a rede
> > > >> como um
> > > > todo.
> > > >>
> > > >> Bom fica a dica para vocês
> > > >> https://github.com/FastVPSEestiOu/fastnetmon
> > > >> e http://nfsen.sourceforge.net/ e
> > > >> https://github.com/sleinen/samplicator
> > > >>
> > > >>
> > > >> ---
> > > >>
> > > >> Att.
> > > >>
> > > >> -------------------------
> > > >>
> > > >> DIEGO CANTON DE BRITO
> > > >> Suporte Técnico - Rede, link dedicado e servidores ENSITE TELECOM
> > > >> suporte em ensite.com.br diegocanton em ensite.com.br
> > > >> +55 18 3638 1001 - Suporte Técnico
> > > >> +55 18 3638 1001 - Link Dedicado
> > > >> +55 18 3638 1003 - Telefonia
> > > >> 0800 772 9147
> > > >>
> > > >> Em 2015-09-24 01:08, André Andrade escreveu:
> > > >>
> > > >>> To contigo nessa Caio.
> > > >>>
> > > >>> Se cada um fizer sua parte e de maneira rápida, seria muito melhor
> > > >>> para
> > > >> todos nós.
> > > >>>
> > > >>> Abraço.
> > > >>>
> > > >>> Enviado do meu iPhone
> > > >>> Em 24/09/2015, às 00:26, Caio <caiot5 em gmail.com> escreveu: Já
> > > >>> passei
> > > >> por situações idênticas (fazer blackhole e a propagacao demorar,
> > > >> quase como se fosse manual) e realmente as "mágicas" não
> > > >> funcionaram nunca kkk Atualmente estamos notando redução de
> > > >> desempenho em diversos circuitos que passam em Rio Preto devido aos
> > > >> ataques que vocês estão sofrendo desde o dia 20. Na minha opinião
> > > >> falta proatividade dentro da Algar, alguém com o foco no negócio,
> > > >> com interesse em resolver rápido o problema do cliente e responder
> > > >> aos questionamentos com clareza e sem lenga lenga de "não foram
> > > >> encontrados problemas". On Wednesday, September 23, 2015, André
> > > >> Andrade < andre em n4telecom.com.br> wrote: De
> > > > qualquer forma foi resolvido sim...
> > > >> Desde de o dia 20 venho notando esse problema na rede Algar pós
> > > blackhole.
> > > >> Em 23 de setembro de 2015 23:39, CTBC Telecom
> > > >> <algartelecom em gmail.com <javascript:;>> escreveu: Algumas "mágicas"
> > > >> não funcionaram de maneira automática :) 2015-09-23 23:37
> > > >> GMT-03:00 André Andrade <andre em n4telecom.com.br <javascript:;>>:
> > > >> Percebi que essa queda no rendimento acontece depois que envio o IP
> > > >> atacado que foi dentro da minha rede para a Black-hole da Algar.
> > > >> Esse IP publicado na Black-hole não deveria ser repassado
> > > >> automaticamente
> > > >>
> > > >>>> para as blackhole da redes subsequentes??? Porque demora cerca de
> > > >>>> 20min
> > > >> para publicar isso? Em 23 de setembro de 2015 23:32, CTBC Telecom <
> > > >> algartelecom em gmail.com  <javascript:;>>
> > > >>
> > > >>> escreveu: Se for interior de São Paulo, era ataque em direção a um
> > > >> cliente que
> > > >> já
> > > >>
> > > >>> foi mitigado. 2015-09-23 23:26 GMT-03:00 CTBC Telecom <
> > > >> algartelecom em gmail.com
> > > >> <javascript:;>>:
> > > >>
> > > >>> Qual região? 2015-09-23 23:14 GMT-03:00 André Andrade <
> > > >> andre em n4telecom.com.br
> > > >> <javascript:;>>:
> > > >>
> > > >>> Alguem mais com problema de queda de rendimento no link ALGAR???
> > > >>> Acabei
> > > >> de enviar para blackhole um ip que estava recebendo ataque  e
> > > >>
> > > >>> logo depois a Algar caiu o rendimento para 30% do total. -- André
> > > >> Andrade www.n4telecom.com.br [1]
> > > >> _______________________________________________ caiu mailing list
> > > >> caiu em eng.registro.br <javascript:;>
> > > >> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
> > > >> LISTA SIGA AS INSTRUÇÕES em:
> > > >> https://eng.registro.br/mailman/options/caiu [3]
> > > >> _______________________________________________ caiu mailing list
> > > >> caiu em eng.registro.br <javascript:;>
> > > >> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
> > > >> LISTA SIGA AS INSTRUÇÕES em:
> > > >> https://eng.registro.br/mailman/options/caiu [3]
> > > >> -- André Andrade www.n4telecom.com.br [1]
> > > >> _______________________________________________ caiu mailing list
> > > >> caiu em eng.registro.br <javascript:;>
> > > >> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
> > > >> LISTA SIGA AS INSTRUÇÕES em:
> > > >> https://eng.registro.br/mailman/options/caiu [3]
> > > >> _______________________________________________ caiu mailing list
> > > >> caiu em eng.registro.br <javascript:;>
> > > >> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
> > > >> LISTA SIGA AS INSTRUÇÕES em:
> > > >> https://eng.registro.br/mailman/options/caiu [3]
> > > >> -- André Andrade www.n4telecom.com.br [1]
> > > >> _______________________________________________ caiu mailing list
> > > >> caiu em eng.registro.br <javascript:;>
> > > >> https://eng.registro.br/mailman/listinfo/caiu [2] --> PARA SAIR DA
> > > >> LISTA SIGA AS INSTRUÇÕES em:
> > > >> https://eng.registro.br/mailman/options/caiu [3]
> > > >> _______________________________________________ caiu mailing list
> > > >> caiu em eng.registro.br https://eng.registro.br/mailman/listinfo/caiu
> > > >> [2]
> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >> https://eng.registro.br/mailman/options/caiu [3]
> > > >>
> > > >> _______________________________________________
> > > >> caiu mailing list
> > > >> caiu em eng.registro.br
> > > >> https://eng.registro.br/mailman/listinfo/caiu [2]
> > > >>
> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >>
> > > >> https://eng.registro.br/mailman/options/caiu [3]
> > > >>
> > > >>
> > > >>
> > > >> Links:
> > > >> ------
> > > >> [1] http://www.n4telecom.com.br
> > > >> [2] https://eng.registro.br/mailman/listinfo/caiu
> > > >> [3] https://eng.registro.br/mailman/options/caiu
> > > >> _______________________________________________
> > > >> caiu mailing list
> > > >> caiu em eng.registro.br
> > > >> https://eng.registro.br/mailman/listinfo/caiu
> > > >>
> > > >>
> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >>
> > > >> https://eng.registro.br/mailman/options/caiu
> > > >
> > > >
> > > >
> > > > --
> > > > André Andrade
> > > > www.n4telecom.com.br
> > > > _______________________________________________
> > > > caiu mailing list
> > > > caiu em eng.registro.br
> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > > https://eng.registro.br/mailman/options/caiu
> > > >
> > > > _______________________________________________
> > > > caiu mailing list
> > > > caiu em eng.registro.br
> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > > https://eng.registro.br/mailman/options/caiu
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


Mais detalhes sobre a lista de discussão caiu