[caiu] DDos em massa partindo de IPS nacionais

Rafael Galdino sup.rafaelgaldino em gmail.com
Sex Jul 27 00:04:15 -03 2018


entendi sua Colocação André, mas nessa linha de raciocínio nem precisaria
então da BCP38?
pois sabemos que muitos usam de maquinas zumbis para FORJAR o IP informando
o IP que quer o ATAQUE.
mas temos que lembrar que precisamos também bloquear com a BCP38 para
evitar aquele lammerzinho que joga e perdeu a partida
fazer negação da casa dele, pois o provedor não filtra....

hoje parece mentira, mas um cliente de um provedor ligou para o suporte,
falando que a internet estava ruim porque ele não estava conseguindo
fazer spoof do ip dele. ( sério mesmo ) eu ri muito mas muito, a rede do
cara não é muito grande, mas tinha quase 35k PPS que esse mimadinho estava
fazendo na
rede do cara rs...


Em qui, 26 de jul de 2018 às 23:13, Andre Almeida <andre em bnet.com.br>
escreveu:

> Que eu saiba os IPs spoofados seriam o destino do ataque e não a origem....
>
> Já que normalmente num ataque DRDOS (os mais comuns) são respostas de
> solicitações spoofadas,
> onde o spoof ocorreu justamente para mudar a origem e fazer com que as
> respostas sejam destinadas ao alvo.
>
> Claro que muitos são apenas zumbis.... DNS recursivo aberto, NTP aberto,
> etc.....
>
> Mas isso ja esta virando discussão pra GTER ou pra MASOCH-L
>
> Lista caiu pra falar de ataque genérico, quando na verdade não tem nada
> fora, fica fora de contexto com a lista.
>
>
> Andre
>
> Em 26 de julho de 2018 23:07, Rafael Galdino <sup.rafaelgaldino em gmail.com>
> escreveu:
>
> > Gelson, na verdade quando Você Aplica a BCP38 você está ajudando para que
> > SUA REDE não seja usada para efetuar ataques com ops SPOOFADOS,
> > só vai passar IPS de sua rede, você deve aplicar mais próximo de seus
> > clientes, se muitos aqui fizessem isso já ajudaria muito.
> >
> >
> >
> > Em qui, 26 de jul de 2018 às 19:57, Gelson Santos <gelson.dias em gmail.com
> >
> > escreveu:
> >
> > > Qual a utilidade de se aplicar filtro por IP de origem se eles sempre
> são
> > > spoofed e mesmo que não fossem, seriam dinâmicos? Isso não acaba por
> > > filtrar inocentes sem resolver o problema?
> > > Gelson
> > >
> > > Em qui, 26 de jul de 2018 19:07, Christian David <
> > davidchristia em gmail.com>
> > > escreveu:
> > >
> > > > Vocês que captaram os logs de acessos dos ataques, poderiam
> > compartilhar
> > > > com a lista para fins de atualização dos ips infectados nas listas
> dos
> > > > nossos equipamentos?
> > > >
> > > > Em qui, 26 de jul de 2018 às 15:44, Rafael Floriano <
> > > rafloriano em gmail.com>
> > > > escreveu:
> > > >
> > > > > Aqui eu venho sofrendo a 3 semanas.
> > > > >
> > > > > Sexta passada dispararam um caminhão de acessos falsos para
> > wap.ind.br
> > > ,
> > > > > ssh, ftp e login web.
> > > > >
> > > > > Essa semana desde ontem estão martelando em uma URL da beautycolor,
> > mas
> > > > > dessa vez não é tentativa de quebrar senha, é milhares de acessos a
> > uma
> > > > URL
> > > > > publica do site como se o objetivo fosse apenas derrubar o site.
> > > > >
> > > > > O user agent desse ataque é na maior parte android mobile.
> > > > >
> > > > > Em qui, 26 de jul de 2018 às 13:23, contato em gomais.com.br <
> > > > > contato em gomais.com.br> escreveu:
> > > > >
> > > > > > so voces verem esse anuncio pelo tal guerreiro ddos
> > > > > >
> > > > > > lista de isp/provedores vulneráveis
> > > > > > com equipamentos vulneráveis para implatação de botnets
> > > > > > que serão usados para efetuar ataques
> > > > > > http://equipepnt.com.br/vulneraveis/lista.20.07.2018.txt
> > > > > >
> > > > > >
> > > > > > Em 26/07/2018 12:11, Eduardo Schoedler escreveu:
> > > > > > > Boa tarde,
> > > > > > >
> > > > > > > Em 26 de julho de 2018 03:04, Rafael VOlpe TI
> > > > > > > <rafaelvolpeti em gmail.com> escreveu:
> > > > > > >> Bom dia galera,
> > > > > > >>
> > > > > > >> mais alguém tem enfrentado ataques DDos (Geralmente em
> > > Webservers),
> > > > em
> > > > > > >> LARGA escala (mais de 5000 ips nacionais - Vivo/Claro/Ctbc)
> para
> > > > > > aplicações
> > > > > > >> WEB?
> > > > > > > Ih, toda hora rsrs.
> > > > > > >
> > > > > > > Com ips nacionais especificamente, não.
> > > > > > > Mas não confio nisso, porque geralmente são falsos.
> > > > > > >
> > > > > > > Contratamos uma ferramenta, o engraçado é que ele sempre
> aponta o
> > > > > > > mitigador de Frankfurt como entrada do tráfego de ataque.
> > > > > > > Nesse caso, os IPs eram de um ASN da Alemanha mesmo.
> > > > > > >
> > > > > > > Abs,
> > > > > > >
> > > > > > > --
> > > > > > > Eduardo Schoedler
> > > > > > > _______________________________________________
> > > > > > > caiu mailing list
> > > > > > > caiu em eng.registro.br
> > > > > > > https://eng.registro.br/mailman/listinfo/caiu
> > > > > > >
> > > > > > >
> > > > > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > > > >
> > > > > > > https://eng.registro.br/mailman/options/caiu
> > > > > > >
> > > > > >
> > > > > > _______________________________________________
> > > > > > caiu mailing list
> > > > > > caiu em eng.registro.br
> > > > > > https://eng.registro.br/mailman/listinfo/caiu
> > > > > >
> > > > > >
> > > > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > > >
> > > > > > https://eng.registro.br/mailman/options/caiu
> > > > > >
> > > > >
> > > > >
> > > > > --
> > > > > ____________________________________________________________
> > > > > Rafael Martins.
> > > > > _______________________________________________
> > > > > caiu mailing list
> > > > > caiu em eng.registro.br
> > > > > https://eng.registro.br/mailman/listinfo/caiu
> > > > >
> > > > >
> > > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > > >
> > > > > https://eng.registro.br/mailman/options/caiu
> > > > >
> > > >
> > > >
> > > > --
> > > > _______________________________________________________
> > > >
> > > > Christian David Moura de Freitas
> > > >
> > > > NOC - Viva Telecom (AS264564)
> > > > Técnico em tecnologia na informação (Desenvolvimento Web e Redes de
> > > > computadores)
> > > > Graduando Ciência da Computação pela UERN
> > > > _______________________________________________
> > > > caiu mailing list
> > > > caiu em eng.registro.br
> > > > https://eng.registro.br/mailman/listinfo/caiu
> > > >
> > > >
> > > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >
> > > > https://eng.registro.br/mailman/options/caiu
> > > >
> > > _______________________________________________
> > > caiu mailing list
> > > caiu em eng.registro.br
> > > https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > > https://eng.registro.br/mailman/options/caiu
> > >
> >
> >
> > --
> >
> > *Rafael Galdino*
> >
> >
> > *      Analista de redes*
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


-- 

*Rafael Galdino*


*      Analista de redes*

       Inoc: 265147*100

      Phone:

*+55 (83) 99600-0242*


Mais detalhes sobre a lista de discussão caiu