[GTER] Problema de possível ataque

[Julio Arruda]

Jean Carlos Oliveira Guandalini wrote:
> Caros, tenho um equipamento rodando mikrotik e com BGP (partial) com a
> BrT ativado divulgando um prefixo de nosso AS.
> Notamos ultimamente um alto tráfego no link e lentidão. E analisando o
> tráfego pudemos notar uma "pancada" de requisições nas mais variadas
> portas para ips desse nosso prefixo, e inclusive ips que não estão
> "online". São normalmente portas altas, e requisições de ping, telnet,

Um IP 'morto', que nao devia ter trafego, geralmente e' o chamado 'Dark 
IP' tambem..
> porta 445 e etc...

Porta 445, provavelmente e' scan de vulnerabilidade em Windows.

> Cheguei a fazer um teste de desconectar todos meus usuários atrás desse
> Mikrotik, e continuaram a vir os tráfegos com destino aos ips do meu
> prefixo.
> 
> O "ataque" vem de vários IPs diferentes, praticamente não repetem.
> Será que poderia ser algum ataque de IP-Spoof?

Pode ser, se bem que tem botnets ai tao 'grandes' que as vezes sao DDoS 
de 100k origens, 'validos'..:-)..


> Alguém já passou por situação parecida? Vocês tem alguma dica pra que
> possamos efetuar o bloqueio desse tráfego?

A primeira coisa seria falar com seu upstream, que pode tentar ajudar.

Se quiser mandar em email em private com mais info (captura dos pacotes 
e etc), posso tentar ver por 'outro lado', so que dependendo do tipo de 
ataque, nao tem solucao 'simples'..

> 
> Desde já agradeço
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter