[GTER] Host da Locaweb sendo usado para ataques
Julio Arruda
jarruda-gter at jarruda.com
Sat Nov 28 13:18:38 -02 2009
Antonio Carlos Pina wrote:
> Por origem, não conheço nenhuma. Por destino, todas.
> Bloqueio por origem TEMPORARIO, todas fazem. Na sua ponta mesmo, via ACL.
>
De qualquer forma, provavelmente o melhor lugar para filtrar, e' a
origem. Para tanto, tem que ser obviamente detectado, e
identificado/caracterizado.
Existem carriers que aplicariam uma ACL, outros flow-spec, outros com
intelligent DDOS mitigation systems, e ja vi carriers que simplesmente
desabilitam o cliente, dependendo do porte do ataque :-) e do dano
colateral..
> 2009/11/28 Juliano Primavesi | KingHost <juliano at kinghost.com.br>
>
>> Blackhole por origem? Qual operadora faz isso??
>>
>> Só conheço synkhole/blackhole por destino...
>>
>>
>> Juliano
>>
>> Antonio Carlos Pina escreveu:
>>
>>> Saiu um ataque daqui de uns 1,5Gb/s há dois dias, que nós bloqueamos. Veio
>>>
>>> de um grupo de clientes, mas não analisamos exatamente o que foi, somente
>>> bloqueamos e avisamos aos clientes.
>>>
>>> Pode ser que tenha alguma vulnerabilidade nova em scripts ou frameworks
>>> que
>>> o pessoal esteja instalando por aí. E essa vuln pode ser explorada para
>>> fazer exatamente isso.
>>> Bogus, você possui algum sistema de blackhole instalado com a operadora ?
>>> Você não pode pedir o bloqueio nas operadoras para essa origem até a
>>> locaweb
>>> resolver ?
>>>
>>> Abs
>>> 2009/11/27 Julio Arruda <jarruda-gter at jarruda.com>
>>>
>>>
>>>
>>>> Provedor Bogus wrote:
>>>>
>>>>
>>>>
>>>>> Pois é ... já fiz isso, mas acho que alguém da Locaweb deveria saber que
>>>>> estão usando um host
>>>>> deles pra ataque. E parece que tem bastante link disponível. Encheu um
>>>>> 500
>>>>> mbps nosso com
>>>>> os pés nas costas ... :-)
>>>>>
>>>>>
>>>>>
>>>>>
>>>> O problema, como o Bogus (?) mencionou, e' que hosts em um IDC com 'banda
>>>> a
>>>> vontade', pode dar muita aporrinhacao.
>>>> Existem ilhas no Caribe, onde com 622 voce tirava cassinos inteiros do ar
>>>> a
>>>> uns 1 e 1/2 anos atras..
>>>>
>>>> Se o provedor nao seguir um minimo de BCP 38 (ao menos prevenir
>>>> spoofing),
>>>> ainda pode dar mais trabalho..
>>>> Quanto ao nullroute, neste caso, ele teria que fazer um S/RTBH por
>>>> exemplo,
>>>> ja que ele quer evitar entrada de trafego, nao resposta (nao e' claro
>>>> qual o
>>>> tipo de ataque, mas 500 Mbps dao trabalho mesmo se for sem resposta :-)..
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>
>>>>> 2009/11/27 Itamar Reis Peixoto <itamar at ispbrasil.com.br>
>>>>>
>>>>> da um nullroute e envia este ip para bogus!
>>>>>
>>>>>
>>>>>> 2009/11/27 Provedor Bogus <provedorbogus at gmail.com>:
>>>>>>
>>>>>>
>>>>>>
>>>>>>> Caros,
>>>>>>>
>>>>>>> Não sei se há alguém da parte operacional da Locaweb aqui na lista,
>>>>>>> mas, espero que haja.
>>>>>>>
>>>>>>> O host 189.126.99.8 está sendo usado para atacar outros provedores.
>>>>>>> Semana passada
>>>>>>> um amigo de outro provedor foi atacado e agora fomos nós.
>>>>>>>
>>>>>>> Abraço !
>>>>>>> --
>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list