[GTER] Ataques Tipo Food

Tukso Antartiko tukso.antartiko at gmail.com
Tue Aug 7 20:26:08 -03 2007


Outra possibilidade, provavelmente a mais factível:

Suponhamos que anteriormente seu cliente possuía 64 IPs subalocados,
com isso ele recebia 64x ataques aleatórios (scans, worms, ...) agora
seu cliente possui um /20 portanto, se ele anunciar todos estes IPs, é
de se esperar um aumento proporcional da quantidade  deste tipo de
ataque.

Concentre o uso em apenas uma faixa, de preferência usando NAT, e
tente filtrar os demais em um nível superior.

On 8/7/07, Tukso Antartiko <tukso.antartiko at gmail.com> wrote:
> Existe uma lista específica sobre de segurança onde você pode
> conseguir respostas melhores (
> https://eng.registro.br/mailman/listinfo/gts-l )
>
> Divagando quanto às possibilidades:
> - Seus clientes atuais usavam IPs de outra operadora, que filtrava o
> tráfego de forma transparente, mas agora usam AS/IPs próprios e a
> operadora não filtra mais.
> - Seus clientes, por serem inexperientes, foram sequestrados por
> alguma botnet que por si só está gerando muito tráfego ou as botnets
> rivais estão atacando.
> - Seus clientes não aplicaram mecanismos de proteção (RADB/ALTDB é um
> deles) e por isso cheiram como doce para formiga.
> - Seus clientes aumentaram a capacidade/economia, resolveram repassar
> esta economia mas exageraram na dose
> - Seus clientes tinham poucos IPs e por isso usavam NAT, agora tem IPs
> sobrando e todos clientes deles tem IPs roteáveis globalmente.
> - (insira adivinhação aqui)
>
> Quanto às ferramentas esta não é minha área de especialidade mas a
> principal é o Snort rodando em uma trap.
>
> On 8/7/07, Mario Gulla <mario.gulla at nqt.com.br> wrote:
> > Temos percebido que alguns clientes que obtiveram AS e começaram a operar
> > com BGP tem sofrido maior índice de ataques tipo flood.
> >
> > Isto faz sentido ou é apenas coincidência?
> >
> > A propósito, quais ferramentas vcs utilizam para detectar rápida e
> > facilmente o destino dos ataques?
> >
> > Sds,
> > Mario Gulla - NQT
>



More information about the gter mailing list