[GTER] DoS
Juliano Primavesi - Cyberweb Networks
juliano at cyberweb.com.br
Mon Mar 30 10:24:26 -03 2009
Rubens,
Experiencia propria com a Intelig: eles podem mesmo... mas não vão
fazer. Poderiam até fazer isso no M40 da borda, mas não vão fazer...
eles só fazem anuncios blackhole em BGP... é o máximo que dá para
conseguir. Como são requisições na porta 5060, acredito que alguém
configurou um IP errado para conectar em SIP, e aí o melhor a fazer é
descartar os pacotes em um firewall.
Juliano
Rubens Kuhl escreveu:
>> Na empresa onde trabalho temos um cliente que está recebendo várias
>> requisições UDP na porta 5060 vindas do IP
>> 213.149.105.45. Não sei exatamente a quantidade, mas pelo tcpdump vi
>> que são algumas dezenas por segundo.
>> Já bloqueamos no firewall, porém as requisições continuam batendo no
>> firewall, isso há 2 dias.
>> Já entrei em contato com a Intelig e eles disseram que não podem
>> bloquear o IP no backbone, só conseguem bloquear tudo que for
>> internacional ou nada.
>>
>
> Eles podem sim bloquear essa padrão no roteador que atende seu
> circuito usando ACL.
> Eles tem a prerrogativa de não querer fazer isso, mas eles podem sim
> fazer esse tipo de bloqueio.
>
> Mas a quantidade é significativa para consumir recursos seus ? Banda,
> processamento de roteador ? Porque senão, é mais simples conviver até
> alguém notar o ataque, algo que costuma levar algumas semanas.
> (mas que depende do apoio de rastreio da Intelig e ajuda deles em
> reclamar isso com upstreams)
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list