[caiu] DDos em massa partindo de IPS nacionais

Rodrigo Baldasso rodrigo em loophost.com.br
Qua Ago 1 12:34:35 -03 2018


Também estamos tendo constantes ataques oriundos de provedores nacionais, e
alguns volumétricos passam de gbps. O IP até podia estar spoofado em alguns
casos que tivemos, mas o tráfego era nacional.

Em 29 de julho de 2018 00:28, Wildson Macedo <wildson.macedo em gmail.com>
escreveu:

> Pessoal,
>
> Tava lendo os emails, olha só.
>
> *a)* No meu entender, os ataques de bruteforce já não fazem muito sentido.
> Serviços com FTP e SSH não devem em hipoteses alguma está operando nas
> portas default, quem deixa FTP e SSH nas portas
> default está pagando para ver.
>
> Esses ataques são facilmente tratados alterando as portas para outro
> numero.
>
> *b)* Ataque a WebSite acredito que também são fáceis tratar, os firewall's
> atuais possuem recursos de limitar a quantidade de acessos simultaneos de
> um determinado IP/Range.
>
> É possível determinar a quantidade de requisições por segundo que podem ser
> aceitas, há várias formas de limitar os abusos de requisições.
>
> Além do mais, é desaconselhavel disponibilizar acesso ao servidor web sem
> um proxy reverso.
> No proxy reverso é possível adicionar vários mecanismos de segurança e
> fazer com que o backend tome "menos porrada".
>
> Tem que ver como estah disponilizados esses serviços. As vezes o ataque
> ocorre porque alguém rodou algum script (ex: nmap) num range grande IPs e
> detectou que o seu tem várias vulnerabilidades detectadas.
>
> Ao meu ver, no geral, os ataque mais perigosos são os ataque sutis!!! SQL
> Injection, XSS, etc.
> Dai a necessidade de um IPS (Sistema de Prevenção de Intruso) e o WAF.
>
>
> Em 28 de julho de 2018 23:24, Provedor Bogus <provedorbogus em gmail.com>
> escreveu:
>
> > Thiago,
> >
> > Não lamente. Na verdade você está concordando comigo. Explico.
> >
> > O bloqueio de qualquer porta (sim, todas as 65535) constitui
> discriminação
> > de tráfego e é uma violação direta e flagrante do Marco Civil. Aprendemos
> > isso perdendo um processo e pagando R$ 9.600 a um cliente cuja
> mensalidade
> > é R$ 60. A partir de então, todas as portas de todos os nossos serviços
> > (residenciais ou corporativos) não tem qualquer tipo de bloqueio.
> >
> > Sobre bloquear a porta 25 é um caso excepcional que não sei se, de fato,
> > vai contra o Marco Civil, uma vez que nele fica explícito que somente o
> > Estado pode determinar esta ação. Embora o CGI.br diga para bloquear,
> > desconheço se há uma portaria embasando essa orientação. Se algum colega
> > puder esclarecer, agradeço.
> >
> > Aproveitando sua epígrafe para frisar o que eu disse no meu e-mail
> > anterior.
> >
> > Em 27 de julho de 2018 19:46, THIAGO AYUB <thiago.ayub em upx.com>
> escreveu:
> >
> > > Art. 5*o*  Os requisitos técnicos indispensáveis à prestação adequada
> de
> > > serviços e aplicações devem ser observados pelo responsável de
> atividades
> > > de transmissão, de comutação ou de roteamento, no âmbito de sua
> > respectiva
> > > rede, e têm como objetivo manter sua estabilidade, segurança,
> > integridade e
> > > funcionalidade.
> > >
> >
> > Perceba o que o Artigo é enfático ao falar das atribuições **no âmbito da
> > sua respectiva rede**  afim de manter sua (novamente, sua própria rede,
> não
> > a Internet) estabilidade, segurança, integridade e funcionalidade.
> > Isso é exatamente o que eu disse na mensagem anterior.
> > O ISP pode intervir somente quando seu cliente estiver prejudicando a
> rede
> > do próprio ISP, por exemplo, causando negação de serviço (nome em
> português
> > para DDoS).
> >
> > Uma operadora não tem poder para auditar o tráfego e assim julgar o que é
> > legítimo ou malicioso para a Internet, bloqueando de acordo com suas
> > convicções.
> > Da mesma forma, não posso bloquear o tráfego de alguém sem um mandado
> > judicial ou portaria ministerial. Um e-mail de outro administrador de
> > sistemas reclamando não tem força de Lei e não é aceito como
> justificativa
> > em um tribunal.
> >
> > Só pra deixar claro, estou falando de Lei e não de como eu acho que
> deveria
> > ser. A minha opinião é inteiramente diferente do que eu sou obrigado a
> > (deixar de) fazer.
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


Mais detalhes sobre a lista de discussão caiu