[GTER] IP spoofing: "rastreamento" e contatos com operadoras

Wed Jan 28 15:54:57 -02 2009

Quem não quer ter muito trabalho e confiar pode utilizar os route servers da
team-cymru para ter a lista de bogons e filtros atualizados atualizados
automaticamente na sua sessão bgp.

http://www.team-cymru.org/Services/Bogons/routeserver.html

2009/1/28 Julio Arruda <jarruda-gter at jarruda.com>

> Hygor wrote:
>
>> Bom dia,
>>  Esse ataque causa DDoS no ip spoofado.. na sua rede podera somente causar
>> uma leve lentidão nas consultas..
>>
>> http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf
>>
>> http://www.cymru.com/Documents/secure-bind-template.html
>> []s
>>
>
> Humm..sim, na verdade o Cassio comecou o thread baseado nos recentes
> ataques de DNS amplificados da semana passada que 'fizeram noticia', e com
> isto ele (com merito), esta tentando fechar implementacao de tecnicas
> basicas de anti-spoofing na rede dele :-)
>
>
>
>>
>> 2009/1/27 Julio Arruda <jarruda-gter at jarruda.com>
>>
>> casfre at gmail.com wrote:
>>>
>>> Júlio,
>>>>
>>>>    Primeiro, obrigado por suas considerações e observações.
>>>>
>>>>    Pelo que entendi, não é mesmo uma tarefa trivial o que eu
>>>> esperava que fosse feito.
>>>>
>>>>  Uma curiosidade, voce menciona o ataque de DNS refletido.
>>>>
>>>>> Voce tem BCP38 na sua rede ?
>>>>>
>>>>>    Meu primeiro contato com o termo "BCP38" foi em um post da NANOG,
>>>> nesse evento do DNS refletido. Já li uma vez e estou lendo novamente.
>>>>
>>>> Parabens, voce e' parte da solucao :-)..
>>> Acredite, tem muitos que nao usam...
>>>
>>>  Pelo que já entendi até agora, eu já fazia os filtros de entrada e
>>>
>>>> saída no firewall, conforme assunto tratado no item 2.1 Ingress Access
>>>> Lists [1], o qual parece ser o mais indicado para nosso caso.
>>>>
>>>> Talvez voce possa usar algo como "uRPF", onde voce na verdade nao tem
>>> que
>>> ficar mantendo listas de acesso, e sim tem uma configuracao nos elementos
>>> de
>>> borda (acesso e Peering Edge, assim voce pega tambem o caso de alguem de
>>> 'dentro' de seu hosting no datacenter por exemplo :-)), para que ele
>>> verifique via uRPF, se 'o IP que mandou este pacote, deveria estar ali de
>>> onde veio este pacote ?"
>>> Nao e' trivial, com redundancia de caminhos e etc, mas tem com certeza
>>> varios aqui na lista que podem dar aula disto, melhor do que eu :-)..
>>>
>>>
>>>
>>>    O roteador ( que está antes do firewall ) é da operadora e é ela
>>>> a responsável pela configuração. Como o "link" é entregue em uma porta
>>>> ethernet, estou analisando a retirada do roteador, mas ainda há
>>>> algumas considerações a fazer.
>>>>
>>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>