[GTER] RES: DNS queries for "." (ddos reflection attack)

Julio Arruda jarruda-gter at jarruda.com
Thu Jan 29 10:24:53 -02 2009


Danton Nunes wrote:
> On Wed, 28 Jan 2009, casfre at gmail.com wrote:
> 
>>     Notei que o "-" no final é diferente. Antes aparecia "+". Não sei
>> se isso explica a diferença, no entanto, usando o tcpdump, vi que o
>> pacote agora tem 47 bytes. Embora o servidor tenha negado o acesso
>> (REFUSED), vou tentar um ajuste no filtro.
> 
> para de brincar de gato e rato. como se sabe bem dos desenhos animados, 
> o rato sempre ganha.


E com 10 milhoes de ratos somente no novo Conficker/Downaup, e' muito 
rato para brincar de whack-a-mole.... :-)

No mundo de DDoS, nao existe uma bala magica, existem combinacoes de 
solucoes, e mesmo no MEIO de um ataque, as vezes o atacante muda o 
padrao de ataque, entao nao tem receita de bolo, tem que ficar de olho 
nos NANOG/LACNIC/GTER/GTS/afins (ou torcer para nao ser 'encontrado')

PS: Estou viajando, e nao tenho acompanhado o desenvolvimento da 
historia dos 10M de PCs comprometidos..alguem ja viu alguma 'acao' 
tomada por eles :-) ?
Diz o Nazario e outros que eles esperavam um 2nd payload ser carregado, 
pois ate agora nao estavam fazendo muita coisa..



More information about the gter mailing list