[GTER] Pedido de ajuda para ataque DDOS

Thu Sep 11 18:02:45 -03 2008

So para reforcar o que o Rubens falou, e' uma tatica bem comum de 
provedores  que oferecem servicos de Clean Pipes, de oferecer a clientes 
multi-homed, um contrato tipo para-raio para cobrir este caso :-)..
Isto e', se eles (o cliente multi-homed) estiverem sob ataque, e o(s) 
outro(s) provedor(es) nao puderam limpar o trafego, o cliente de clean 
pipes muda os anuncios para 'puxar' o trafego sob ataque temporariamente 
pelo provedor que oferece clean pipes.
Obviamente, tem que planejar banda e etc para isto, mas e' uma coisa 
comum quando se tem clean pipes contratado so' com um upstream.

Rubens Kuhl Jr. wrote:
> Não, isso facilitaria a introduzir anúncios por outros caminhos (peers
> dispostos a ajudar, quer por cooperação quer por compensação
> financeira) para atrair o ataque ou para ajudar na localização das
> origens.
> 
> Rubens
> 
> 
> 2008/9/11 Abel Castanheira <abel.castanheira at gmail.com>:
>> Rubens,
>>
>>   Desculpe mas não entendi ainda qual o ganho para o Gustavo em fazer uma
>> conexão direta à um ptt. Isso faria com que o ataque cessasse?
>>
>> Abel
>>
>> ----- Original Message ----- From: "Rubens Kuhl Jr." <rubensk at gmail.com>
>> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
>> <gter at eng.registro.br>
>> Sent: Thursday, September 11, 2008 12:35 PM
>> Subject: Re: [GTER] Pedido de ajuda para ataque DDOS
>>
>>
>> Dependendo da sua localização alguém, ou você mesmo, poderia
>> estabelecer essa conectividade...
>>
>> Rubens
>>
>> 2008/9/11 Gustavo Figueira <guxtavo at gmail.com>:
>>> A Intelig me fornece a ultima milha. Somos muito pequenos e não estamos
>>> ligado a nenhum ptt.
>>>
>>> Nosso roteador é um Cisco 3640. Quando o ataque ocorre nosso roteador fica
>>> com CPU 100%.
>>>
>>> Para parar o ataque a Intelig bloqueia todo tráfego vindo dos peerings
>>> internacionais com destino as nossas redes. Mas assim não conseguimos
>>> acessar nada fora.
>>>
>>> Ats,
>>>
>>> Gustavo
>>>
>>> 2008/9/11 Rubens Kuhl Jr. <rubensk at gmail.com>
>>>
>>>> Gustavo,
>>>>
>>>> Você está na proximidade de algum ponto de troca de tráfego onde seria
>>>> mais simples ativar alguma solução de contingência ou definitiva para
>>>> o problema ?
>>>>
>>>>
>>>> Rubens
>>>>
>>>>
>>>> 2008/9/10 Gustavo Figueira <guxtavo at gmail.com>:
>>>>> Senhores,
>>>>>
>>>>> Estamos sofrendo ataque de DDoS (provenientes de IPs "spoofados" e
>>>> pacotes
>>>>> com CRC inválidos) desde ás 19:00 horas do dia 05 de setembro.
>>>>>
>>>>> *Em diversos contatos com a Intelig temos solicitados insistentemente >
>>>>> que
>>>> a
>>>>> mesma identifique a proveniência destes pacotes e entre em contato com
>>>>>> os
>>>>> PEERINGs de forma a identificarmos a origem dos pacotes*.
>>>>>
>>>>> Ate mesmo um pedido feito para relatar o que estava ocorrendo e com as
>>>>> medidas tomadas (para apresentação a Delegacia e repasse aos nossos
>>>>> clientes) foi negado.
>>>>>
>>>>> A Intelig alega que não é responsabilidade dela realizar tal tarefa, o
>>>> que
>>>>> entendemos ser incorreto, pois não sendo possível (a identificação de
>>>> origem
>>>>> e contato com os *Peerings*) ser realizado por nossa empresa, podemos
>>>> contar
>>>>> unicamente com as iniciativas da Intelig.
>>>>>
>>>>> Somos um provedor de internet com uma conexão de 6 Mbbs com a Intelig >
>>>>> e,
>>>>> estamos sem poder atender adequadamente nossos clientes por conta deste
>>>>> ataque e a própria inércia da Intelig que até o momento se prestou >
>>>>> apenas
>>>> a
>>>>> bloquear o tráfego dos IPs atacados (DNS, MX, outros e um /24 inteiro).
>>>>>
>>>>> Estamos sendo atendidos pela Intelig em todos os nossos contatos, mas >
>>>>> sem
>>>>> nenhuma ação eficaz.
>>>>>
>>>>> Pedimos apoio ou recomendações para tentar chegar a fonte de origem dos
>>>>> ataques e voltarmos ao nosso cotidiano, pois do contrario estamos
>>>> condenados
>>>>> a fechar a nossa empresa.
>>>>> Se qualquer um puder ajudar eu agradeço.
>>>>>
>>>>> Ats,