[GTER] Alerta: Pacotes udp desconhecido com volumes absurdos.

Wander Menezes wander at dominal.com
Sun Jan 2 15:01:29 -02 2005 

Srs,
 
Após um ataque com um volume monstruoso +50 MBs que foi bloqueado pelas
operadores que prestam serviços a minha empresa usando bgp (com técnicas
de black  hole ) capturei o tipo  de tráfego UDP para os meus Roteadores
e Firewalls :
 
17:41:26.113664 64.23.1.61 > x.x.x.x: udp (frag 8347:25 at 512) (ttl 55,
len 45)
                         4500 05dc 209b 74f5 2e11 5699 4017 013d
                         c896 90fd 4242 4242 4242 4242 4242 4242
                         4242 4242 4242 4242 4242 4242 4242 4242
                         4242 4242 4242 4242 4242 4242 4242 4242
                         4242 4242 4242 4242 4242 4242 4242 4242
                         4242
17:41:26.114016 63.247.134.43 > x.x.x.x: udp (frag 29804: 25 at 512) (ttl
55, len 45)
                         4500 05dc 746c 6d02 2e11 85ec 3ff7 862b
                         c896 90fd 4242 4242 4242 4242 4242 4242
                         4242 4242 4242 4242 4242 4242 4242 4242
                         4242 4242 4242 4242 4242 4242 4242 4242
                         4242 4242 4242 4242 4242 4242 4242 4242
                         4242
17:41:26.116034 64.23.1.61 > x.x.x.x: udp (frag 8347: 25 at 512) (ttl 55,
len 45)
                         4500 05dc 209b 7383 2e11 580b 4017 013d
                         c896 90fd 4242 4242 4242 4242 4242 4242
                         4242 4242 4242 4242 4242 4242 4242 4242
                         4242 4242 4242 4242 4242 4242 4242 4242
                         4242 4242 4242 4242 4242 4242 4242 4242
                         4242
17:41:26.117631 64.23.1.61 > x.x.x.x: udp (frag 8347: 25 at 512) (ttl 55,
len 45)
                         4500 05dc 209b 72ca 2e11 58c4 4017 013d
                         c896 90fd 4242 4242 4242 4242 4242 4242
                         4242 4242 4242 4242 4242 4242 4242 4242
                         4242 4242 4242 4242 4242 4242 4242 4242
                         4242 4242 4242 4242 4242 4242 4242 4242
 
Estes pacotes são manipulados e a detecção da origem está realmente
difícil e o custo de drop é dificultado pelo volume... mas assinatura é
clara. Lendo artigos no ISC da SAN (
<http://isc.sans.org/diary.php?date=2004-12-08>
http://isc.sans.org/diary.php?date=2004-12-08)  Notei que é um tipo de
ferramenta/ataque desconhecida(o) e sua origem sempre são de Blocos da
RIPE Network da Europa. No começo Todos os ataques vieram de Servidores
Linux invadidos dentro de datacenter’s da Ripe atrás de Gigarouters mas
agora este ataque está vindo com os Headers alterados.
 
Gostaria de saber se alguém na lista está recebendo este tipo de
tráfego. Com certeza os peerings da Intelig e Telemar confirmo que
estão.
 
 

Wander Menezes

Gerente de Projetos
 

+55 21 8882-4983
 <mailto:wander at domina.com> wander at domina.com

Dominal.com
Solução Definitiva em Hosting 
Av Presidente Vargas 3131, Sala 1606 
Teleporto da Cidade do Rio de Janeiro - RJ - Brasil CEP 20210-030
Tel:+55 21 3525-5555 | Fax:+55 21 2515-5010
 <http://www.dominal.com/> http://www.dominal.com

More information about the gter mailing list