[GTER] Host da Locaweb sendo usado para ataques

Sat Nov 28 10:32:34 -02 2009

Blackhole por origem? Qual operadora faz isso??

Só conheço synkhole/blackhole por destino...

Juliano

Antonio Carlos Pina escreveu:
> Saiu um ataque daqui de uns 1,5Gb/s há dois dias, que nós bloqueamos. Veio
> de um grupo de clientes, mas não analisamos exatamente o que foi, somente
> bloqueamos e avisamos aos clientes.
>
> Pode ser que tenha alguma vulnerabilidade nova em scripts ou frameworks que
> o pessoal esteja instalando por aí. E essa vuln pode ser explorada para
> fazer exatamente isso.
> Bogus, você possui algum sistema de blackhole instalado com a operadora ?
> Você não pode pedir o bloqueio nas operadoras para essa origem até a locaweb
> resolver ?
>
> Abs
> 2009/11/27 Julio Arruda <jarruda-gter at jarruda.com>
>
>   
>> Provedor Bogus wrote:
>>
>>     
>>> Pois é ... já fiz isso, mas acho que alguém da Locaweb deveria saber que
>>> estão usando um host
>>> deles pra ataque. E parece que tem bastante link disponível. Encheu um 500
>>> mbps nosso com
>>> os pés nas costas ... :-)
>>>
>>>
>>>       
>> O problema, como o Bogus (?) mencionou, e' que hosts em um IDC com 'banda a
>> vontade', pode dar muita aporrinhacao.
>> Existem ilhas no Caribe, onde com 622 voce tirava cassinos inteiros do ar a
>> uns 1 e 1/2 anos atras..
>>
>> Se o provedor nao seguir um minimo de BCP 38 (ao menos prevenir spoofing),
>> ainda pode dar mais trabalho..
>> Quanto ao nullroute, neste caso, ele teria que fazer um S/RTBH por exemplo,
>> ja que ele quer evitar entrada de trafego, nao resposta (nao e' claro qual o
>> tipo de ataque, mas 500 Mbps dao trabalho mesmo se for sem resposta :-)..
>>
>>
>>
>>
>>     
>>> 2009/11/27 Itamar Reis Peixoto <itamar at ispbrasil.com.br>
>>>
>>> da um nullroute  e envia este ip para bogus!
>>>       
>>>> 2009/11/27 Provedor Bogus <provedorbogus at gmail.com>:
>>>>
>>>>         
>>>>> Caros,
>>>>>
>>>>>    Não sei se há alguém da parte operacional da Locaweb aqui na lista,
>>>>> mas, espero que haja.
>>>>>
>>>>>    O host 189.126.99.8 está sendo usado para atacar outros provedores.
>>>>> Semana passada
>>>>>    um amigo de outro provedor foi atacado e agora fomos nós.
>>>>>
>>>>>    Abraço !
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>>>
>>>>>           
>>>> --
>>>> ------------
>>>>
>>>> Itamar Reis Peixoto
>>>>
>>>> e-mail/msn/google talk/sip: itamar at ispbrasil.com.br
>>>> skype: itamarjp
>>>> icq: 81053601
>>>> +55 11 4063 5033
>>>> +55 34 3221 8599
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>> --
>>>>         
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>>       
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>>     
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>   