[GTER] Pedido de ajuda para ataque DDOS

Gustavo Figueira guxtavo at gmail.com
Thu Sep 11 13:05:43 -03 2008 

Durval,

Pelo o que vi, nenhuma operadora pode bloquear tráfego a não ser para a sua
própria rede. Eu não posso pedir pra que eles façam um bloqueio na origem X
ou Y. Só posso pedir que façam um bloqueio para nossos IPs onde a origem é
nacional ou internacional.

Eles devem ter capacidade técnica pra descobrir de qual peering esses
pacotes estão vindo, informar o peering e o peering fazer a mesma coisa até
que cheguem em todas as origens. Ficar bloqueando IPs é apenas paleativo,
até porque os IPs são spoofados.

Em relação a jurisprudência, o Sr. Humberto Bruno da Anatel já solicitou a
Intelig que intervisse no assunto a fim de resolver o problema:

*De:* Humberto Bruno Pontes Silva
*Enviada em:* quinta-feira, 11 de setembro de 2008 11:45
*Para:* Fabio Cipolla; Dirceu Baraviera
*Cc:* Carlos Rodrigues Borges Junior; Marcio Ferreira Serra
*Assunto:* RES: Ataque de DDoS, pedido de ajuda - KernTec

Prezado Dr. Dirceu,

Entendemos que o problema abaixo é grave e cabe intervenção da Gerência
Geral junto a Presidência da Intelig para solucionar o problema descrito
abaixo. Sugerimos seu contato com o presidente da empresa.

att,

*Humberto Bruno Pontes Silva*
Especialista em Regulação de Serviços Públicos de Telecomunicações
Gerência de Acompanhamento - PVSTP - Superintendência de Serviços Privados

Renato,

Muito obrigado pelas suas considerações. Acredito que seja esse mesmo o
caminho.

Vitor,

Não temos esses tipos de serviço. Pra nossa empresa o simples bloqueio de
tráfego internacional não resolve, pois nossos clientes acessam sites
internacionais.

Rubens,

Não é financeiramente viável para a nossa empresa estar ligado a um PTT :(

Allan,

Já pensamos nessa solucão. Mas dependemos de compra de hardware, uma vez que
nossos 6MB são 3 E1s, e a troca disso pra fibra é inviável financeiramente
falando.

Senhores,

Agradeço a todos as respostas. Se tiverem mais dicas eu ficarei muito feliz.
Entendo que existem várias soluções para esses problemas, mas devido ao
tamanho de nossa empresa, a maioria delas não cabe. Colocar um IPS
resolveria em certo ponto, mas vocês devem concordar que o atacante pode
alterar o tipo de ataque e acabar com nossos 6Mbs num instante.

Ats,


Gustavo
2008/9/11 Durval Menezes <durval at tmp.com.br>

> Prezado Gustavo,
>
> Se seu unico acesso internet e' atraves da operadora mencionada,
> nao vejo saida sem cooperacao deles.
>
> O correto seria a operador identificar e bloquear o trafego de DDOS
> na(s) entrada(s) da rede dela (pontos de peering). Nao acho que va'
> ser produtivo tentar "identificarmos a origem dos pacotes", no maximo
> vai se chegar a alguns zombies de uma botnet qualquer que esta' sendo
> usada para o ataque, e que nao so' podem ser trocados por outros como
> tambem dificilmente levariam ao "autor" do ataque.
>
> Acho que voce deve ter uma conversa muito seria com o seu gerente de
> contas, se for o caso incluindo na conversa um advogado seu. IANAL
> (I Am Not A Lawyer), mas entendo que num caso desses cabe uma liminar
> para obrigar a operadora a tomar medidas imediatas para restabelecer
> o seu servico, e em um segundo momento uma acao de perdas e danos para
> ressarci-lo do seu prejuizo pelo periodo em que voce ficou com o servico
> operando precariamente.
>
> Um Grande Abraco,
> --
>   Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)
>
> On Wed, Sep 10, 2008 at 09:04:05PM -0300, Gustavo Figueira wrote:
> > Senhores,
> >
> > Estamos sofrendo ataque de DDoS (provenientes de IPs "spoofados" e
> pacotes
> > com CRC inválidos) desde ás 19:00 horas do dia 05 de setembro.
> >
> > *Em diversos contatos com a Intelig temos solicitados insistentemente que
> a
> > mesma identifique a proveniência destes pacotes e entre em contato com os
> > PEERINGs de forma a identificarmos a origem dos pacotes*.
> >
> > Ate mesmo um pedido feito para relatar o que estava ocorrendo e com as
> > medidas tomadas (para apresentação a Delegacia e repasse aos nossos
> > clientes) foi negado.
> >
> > A Intelig alega que não é responsabilidade dela realizar tal tarefa, o
> que
> > entendemos ser incorreto, pois não sendo possível (a identificação de
> origem
> > e contato com os *Peerings*) ser realizado por nossa empresa, podemos
> contar
> > unicamente com as iniciativas da Intelig.
> >
> > Somos um provedor de internet com uma conexão de 6 Mbbs com a Intelig e,
> > estamos sem poder atender adequadamente nossos clientes por conta deste
> > ataque e a própria inércia da Intelig que até o momento se prestou apenas
> a
> > bloquear o tráfego dos IPs atacados (DNS, MX, outros e um /24 inteiro).
> >
> > Estamos sendo atendidos pela Intelig em todos os nossos contatos, mas sem
> > nenhuma ação eficaz.
> >
> > Pedimos apoio ou recomendações para tentar chegar a fonte de origem dos
> > ataques e voltarmos ao nosso cotidiano, pois do contrario estamos
> condenados
> > a fechar a nossa empresa.
> > Se qualquer um puder ajudar eu agradeço.
> >
> > Ats,
> >
> > Gustavo
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list