[GTER] Duvida quanto a redirecionamento.
José Luiz - Elite Automação Climatização
eliteservicos at eliteservicos.com.br
Thu Jan 29 11:31:43 -02 2009
Pessoal, bom dia!
Não sei se o problema e unicamente meu ou comum a todos.
Quanto tento acessar alguns enderecos na net, tenho como retorno apenas uma
pagina de "ajuda" da Telefonica informando que a pagina nao foi encontrada
ou nao houve resposta do servidor. Eu efetuo um ping e o servidor responde
mas nao consigo acessar a pagina, somente retorna a pagina de ajuda.
Por isso tenho algumas duvidas, antes eu tinha um codigo de erro e podia
resolver o problema, agora não sei digitei errado, se meu acesso foi negado,
se o site nao existe mais, enfim. Esse procedimento da Telefonica e Legal?
Tem como evitar isso?
Agradeco aos comentarios.
Atenciosamente;
Jose Luiz Vieira.
"Essa mensagem foi escrita sem acentuacao de proposito"
--------------------------------------------------
From: <gter-request at eng.registro.br>
Sent: Thursday, January 29, 2009 11:08 AM
To: <gter at eng.registro.br>
Subject: gter Digest, Vol 70, Issue 76
> Send gter mailing list submissions to
> gter at eng.registro.br
>
> To subscribe or unsubscribe via the World Wide Web, visit
> https://eng.registro.br/mailman/listinfo/gter
> or, via email, send a message with subject or body 'help' to
> gter-request at eng.registro.br
>
> You can reach the person managing the list at
> gter-owner at eng.registro.br
>
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of gter digest..."
>
>
> Today's Topics:
>
> 1. Respeito! (Juli?o Braga)
> 2. Re: RES: DNS queries for "." (ddos reflection attack)
> (casfre at gmail.com)
> 3. Re: query (cache) './NS/IN' denied (casfre at gmail.com)
> 4. Re: IP spoofing: "rastreamento" e contatos com operadoras
> (casfre at gmail.com)
> 5. Re: IP spoofing: "rastreamento" e contatos com operadoras
> (casfre at gmail.com)
> 6. Re: RES: DNS queries for "." (ddos reflection attack)
> (Danton Nunes)
> 7. Re: RES: DNS queries for "." (ddos reflection attack)
> (Julio Arruda)
> 8. Re: RES: DNS queries for "." (ddos reflection attack)
> (casfre at gmail.com)
>
>
> ----------------------------------------------------------------------
>
> Message: 1
> Date: Thu, 29 Jan 2009 09:21:55 -0200
> From: Juli?o Braga <juliao at braga.eti.br>
> Subject: [GTER] Respeito!
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Message-ID: <701619DAC18A47FAA143908456820F5C at pegasus.com.br>
> Content-Type: text/plain; format=flowed; charset="iso-8859-1";
> reply-type=original
>
> Algo em comum com o Brasil? Oops, Brazil?
>
> Ou ? uma mensagem indesej?vel, com conte?do mentiroso, cujo objetivo ? nos
> causar inveja?
>
> []s, Juli?o
>
> ----- Original Message -----
> From: Jonathan Wood
> To: nznog at list.waikato.ac.nz
> Sent: Sunday, January 25, 2009 10:22 PM
> Subject: [nznog] Xtra DNS Servers
>
>
> Hi there all, I just got this message from our friends at telecom
>
> =================
> Dear Customer,
>
> On Saturday morning (24 January 2009) an unforeseen technical fault
> affected
> some Telecom customers. Broadband and Dial-Up internet connections were
> working, however you may have had problems accessing Xtra email, as well
> as
> some services on the Yahoo!Xtra website.
>
> Our technical teams worked swiftly to identify and resolve the problem,
> and
> the majority of services were restored by midday.
>
> We apologise if you were impacted or inconvenienced by the interruption.
>
> Sincerely,
>
> The Team at Telecom
>
> This email is being sent to you as it is a service related message about
> products and services you have with Telecom. It is not a promotional
> email.
>
> This email is being sent on behalf of Telecom NZ Ltd by Jericho Ltd.
>
> Telecom New Zealand. 8 Hereford Street, Freemans Bay, Auckland 1011, NZ.
>
> ============
>
>
> jonno
>
>
>
> ------------------------------
>
> Message: 2
> Date: Wed, 28 Jan 2009 19:35:04 -0200
> From: "casfre at gmail.com" <casfre at gmail.com>
> Subject: Re: [GTER] RES: DNS queries for "." (ddos reflection attack)
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Message-ID:
> <aaef12150901281335g10abd808sc721b4443625f9e2 at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> Ol?,
>
>>> mas o alvo do DDoS n?o ? o servidor que prov? a resposta, ? o endere?o
>>> spoofado da pergunta. ao prover uma resposta (especialmente uma longa)
>>> voc?
>>> est? ajudando a atacar. ent?o o que se pode fazer ? filtrar a mensagem
>>> REFUSED mandada para o alvo do ataque.
>>
>> Eu optei por filtrar a consulta inicial, de forma que o pacote
>> espec?fico ( UDP porta 53 length 45:45 - iptables ) nunca chegue ao
>> servidor de DNS. Continuam chegando aos montes, mas ficam DROP no
>> firewall, logo, n?o h? resposta.
>
> Como era de se esperar nesse caso, algo mudou, al?m do ip de origem.
> :-)
>
> Percebi, nos logs do servidor DNS, que voltaram as ocorr?ncia de
> "query: . IN NS -".
>
> Notei que o "-" no final ? diferente. Antes aparecia "+". N?o sei
> se isso explica a diferen?a, no entanto, usando o tcpdump, vi que o
> pacote agora tem 47 bytes. Embora o servidor tenha negado o acesso
> (REFUSED), vou tentar um ajuste no filtro.
>
> Vou continuar "investigando" para ver se entendo o motivo do
> aumento de 2 bytes.
>
> Minha inten??o, como tcpdump beginner forever. :-), ? encontrar,
> "olhando" o pacote onde est? a diferen?a. :-)
>
> Obrigado.
>
> C?ssio
>
>
> ------------------------------
>
> Message: 3
> Date: Wed, 28 Jan 2009 19:43:09 -0200
> From: "casfre at gmail.com" <casfre at gmail.com>
> Subject: Re: [GTER] query (cache) './NS/IN' denied
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Message-ID:
> <aaef12150901281343r7b3b90c2ydb399e1ff0e3e1f3 at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
>> Desculpem-me se for off-topic. Tenho tido muitas consultas ao cache de
>> meu
>> DNS, que por n?o permitir recurs?o, nega as requisi??es. Mas s?o dezenas
>> de
>> milhares delas. Isto seria algum tipo de ataque, algo com que eu deva me
>> preocupar? O que tenho feito ? fechar o abuser no firewall, o que voc?s
>> me
>> aconselham?
>>
>> Jan 28 12:56:42 marte named[11735]: client 70.86.80.98#55995: view
>> external:
>> query (cache) './NS/IN' denied
>
> Na verdade esse assunto est? "rendendo" mundo afora h? alguns dias.
>
> Sugiro que visite:
> http://eng.registro.br/pipermail/gter/2009-January/021478.html.
>
> H? uma thread falando sobre o assunto.
>
> Obrigado.
>
> C?ssio
>
>
> ------------------------------
>
> Message: 4
> Date: Wed, 28 Jan 2009 21:43:01 -0200
> From: "casfre at gmail.com" <casfre at gmail.com>
> Subject: Re: [GTER] IP spoofing: "rastreamento" e contatos com
> operadoras
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Message-ID:
> <aaef12150901281543l226afbbfy8e505c7530d8f038 at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> 2009/1/28 Gustavo Santos <gustkiller at gmail.com>:
>> Quem n?o quer ter muito trabalho e confiar pode utilizar os route servers
>> da
>> team-cymru para ter a lista de bogons e filtros atualizados atualizados
>> automaticamente na sua sess?o bgp.
>>
>> http://www.team-cymru.org/Services/Bogons/routeserver.html
>
> Eu n?o uso BGP (na verdade conhe?o bem pouco), mas gostei dessa
> outra fonte, do mesmo time:
> http://www.team-cymru.org/Services/Bogons/#http
>
> Parece ser um trabalho s?rio e, pelo explicado na p?gina,
> atualizado constantemente.
>
> Como a lista j? vem pronta para um "wget", seria muito simples
> atualiz?-la, automaticamente, todos os dias.
>
> Ser? uma boa pr?tica? ( Se existir um BCP para isso vai ser ?timo).
> :-)
>
> Algu?m pratica?
>
> C?ssio
>
>
> ------------------------------
>
> Message: 5
> Date: Wed, 28 Jan 2009 22:07:14 -0200
> From: "casfre at gmail.com" <casfre at gmail.com>
> Subject: Re: [GTER] IP spoofing: "rastreamento" e contatos com
> operadoras
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Message-ID: <aaef12150901281607q4fcfc0fehb63c10d8a07c1 at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> 2009/1/28 Julio Arruda <jarruda-gter at jarruda.com>:
>> Hygor wrote:
>>>
>>> Bom dia,
>>> Esse ataque causa DDoS no ip spoofado.. na sua rede podera somente
>>> causar
>>> uma leve lentid?o nas consultas..
>>>
>>> http://www.us-cert.gov/reading_room/DNS-recursion033006.pdf
>>>
>>> http://www.cymru.com/Documents/secure-bind-template.html
>>> []s
>>
>> Humm..sim, na verdade o Cassio comecou o thread baseado nos recentes
>> ataques
>> de DNS amplificados da semana passada que 'fizeram noticia', e com isto
>> ele
>> (com merito), esta tentando fechar implementacao de tecnicas basicas de
>> anti-spoofing na rede dele :-)
>
> Talvez pela pouca "viv?ncia", com pessoas e ambientes que lidam
> com essas coisas a todo tempo, eu esteja "exagerando" em minhas buscas
> e em minha rea??o. No entanto, pelo que tenho lido aqui e na NANOG (
> sou principiante l? tamb?m ), parece que a preocupa??o, a monitora??o,
> a vigil?ncia e a pesquisa sobre o assunto s?o constantes e s?rias.
>
> Com isso tudo, eu n?o consigo parar de pensar assim: hoje o
> problema s?o algumas queries dirigidas aos meus servidores de DNS.
> Desde o in?cio elas est?o sendo recusadas mas, o que vir? depois?
> Tenho visto na NANOG que j? existem consultas para strings aleat?rias.
> Hoje mesmo fiz um outro post relatando o fato de que tenho agora
> consultas com pacotes de 47 bytes. Um pouco antes de sair do trabalho
> eu analisava o fato dessa nova "onda" de queries estar usando um
> intervalo de 38 minutos entre as conex?es.
>
> Assim, penso ainda: se eu n?o fizer nada, quanto mais conseguir?o
> descobrir em minha rede? N?o fazer nada ser? um sinal de que eu seria
> um "alvo f?cil" e, portanto, um "porto seguro" para ataques no futuro?
> Ser? um sinal que diga algo como "ei, aqui n?o tem ningu?m percebendo
> nada disso... hummmm". Penso tamb?m: ser? que algu?m, aqui dentro de
> nossa rede, conseguiria usar a estrutura para originar algo
> semelhante?
>
> Como lembrou o J?lio, ? por isso que estou tentando fazer o
> melhor que eu consigo. Percebo que acompanhando essas discuss?es e
> recebendo id?ias ( mais recebo que ofere?o) posso contribuir, no
> m?nimo, n?o piorando o problema. Se descubro que a melhor pr?tica ?
> n?o responder, mesmo com REFUSED, para esse tipo de ataque, ent?o,
> tentarei implement?-la.
>
> Se n?o me engano, o poder do DDoS est? exatamente na quantidade
> de agentes "atacantes" que se consegue mobilizar, certo? Pretendo ser
> menos 1. :-)
>
> Obrigado pela aten??o e pelas URLs. Eu j? as tinha visitado, mas
> valeu pela lembran?a.
>
> C?ssio
>
>
> ------------------------------
>
> Message: 6
> Date: Thu, 29 Jan 2009 07:23:34 -0200 (BRST)
> From: Danton Nunes <danton at inexo.com.br>
> Subject: Re: [GTER] RES: DNS queries for "." (ddos reflection attack)
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Message-ID:
> <Pine.LNX.4.60.0901290723060.19901 at newquantum.inexo.com.br>
> Content-Type: TEXT/PLAIN; charset=iso-8859-1; format=flowed
>
> On Wed, 28 Jan 2009, casfre at gmail.com wrote:
>
>> Notei que o "-" no final ? diferente. Antes aparecia "+". N?o sei
>> se isso explica a diferen?a, no entanto, usando o tcpdump, vi que o
>> pacote agora tem 47 bytes. Embora o servidor tenha negado o acesso
>> (REFUSED), vou tentar um ajuste no filtro.
>
> para de brincar de gato e rato. como se sabe bem dos desenhos animados, o
> rato sempre ganha.
>
>
> ------------------------------
>
> Message: 7
> Date: Thu, 29 Jan 2009 07:24:53 -0500
> From: Julio Arruda <jarruda-gter at jarruda.com>
> Subject: Re: [GTER] RES: DNS queries for "." (ddos reflection attack)
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Message-ID: <4981A015.7060908 at jarruda.com>
> Content-Type: text/plain; charset=ISO-8859-1; format=flowed
>
> Danton Nunes wrote:
>> On Wed, 28 Jan 2009, casfre at gmail.com wrote:
>>
>>> Notei que o "-" no final ? diferente. Antes aparecia "+". N?o sei
>>> se isso explica a diferen?a, no entanto, usando o tcpdump, vi que o
>>> pacote agora tem 47 bytes. Embora o servidor tenha negado o acesso
>>> (REFUSED), vou tentar um ajuste no filtro.
>>
>> para de brincar de gato e rato. como se sabe bem dos desenhos animados,
>> o rato sempre ganha.
>
>
> E com 10 milhoes de ratos somente no novo Conficker/Downaup, e' muito
> rato para brincar de whack-a-mole.... :-)
>
> No mundo de DDoS, nao existe uma bala magica, existem combinacoes de
> solucoes, e mesmo no MEIO de um ataque, as vezes o atacante muda o
> padrao de ataque, entao nao tem receita de bolo, tem que ficar de olho
> nos NANOG/LACNIC/GTER/GTS/afins (ou torcer para nao ser 'encontrado')
>
> PS: Estou viajando, e nao tenho acompanhado o desenvolvimento da
> historia dos 10M de PCs comprometidos..alguem ja viu alguma 'acao'
> tomada por eles :-) ?
> Diz o Nazario e outros que eles esperavam um 2nd payload ser carregado,
> pois ate agora nao estavam fazendo muita coisa..
>
>
> ------------------------------
>
> Message: 8
> Date: Thu, 29 Jan 2009 11:02:07 -0200
> From: "casfre at gmail.com" <casfre at gmail.com>
> Subject: Re: [GTER] RES: DNS queries for "." (ddos reflection attack)
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Message-ID:
> <aaef12150901290502o21afe44ei713d94fd02d628e8 at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> On Thu, Jan 29, 2009 at 10:24 AM, Julio Arruda <jarruda-gter at jarruda.com>
> wrote:
>> Danton Nunes wrote:
>>>
>>> On Wed, 28 Jan 2009, casfre at gmail.com wrote:
>>>
>>>> Notei que o "-" no final ? diferente. Antes aparecia "+". N?o sei
>>>> se isso explica a diferen?a, no entanto, usando o tcpdump, vi que o
>>>> pacote agora tem 47 bytes. Embora o servidor tenha negado o acesso
>>>> (REFUSED), vou tentar um ajuste no filtro.
>>>
>>> para de brincar de gato e rato. como se sabe bem dos desenhos animados,
>>> o
>>> rato sempre ganha.
>
> ? como eu disse, pode ser minha pouca experi?ncia causando a
> "s?ndrome de gato". Eu ainda n?o me acostumei com essa id?ia de n?o
> poder fazer muita coisa, mas j? melhorei desde o in?cio dessa thread.
> :-)
>
>> No mundo de DDoS, nao existe uma bala magica, existem combinacoes de
>> solucoes, e mesmo no MEIO de um ataque, as vezes o atacante muda o padrao
>> de
>> ataque, entao nao tem receita de bolo, tem que ficar de olho nos
>> NANOG/LACNIC/GTER/GTS/afins (ou torcer para nao ser 'encontrado')
>
> ? o que estou fazendo, mas ainda fica parecendo gato e rato. :-)
>
> Estou tentando acompanhar, nesse momento, a discuss?o, na NANOG,
> sobre o uso de BCP-38.
>
> S? aproveitando a situa??o de gato, depois que ajustei o filtro
> come?aram a pingar o endere?o IP do servidor. :-)
>
> Agrade?o pelas colabora??es. Poder "vivenciar", ainda que ?
> dist?ncia, o que acontece nesse meio est? me ajudando muito.
>
> C?ssio
>
>
> ------------------------------
>
> --
> gter digest list https://eng.registro.br/mailman/listinfo/gter
>
> End of gter Digest, Vol 70, Issue 76
> ************************************
More information about the gter
mailing list