[GTER] Host da Locaweb sendo usado para ataques

[Provedor Bogus]

Antonio, Julio, Juliano, o ataque veio pela Intelig na forma de pacotes UDP

> de 1008 bytes, ou seja, sem pedido de resposta, apenas flood puro.
>>
>
> Ataque de banda...Que port number ?


Port number randômico ... parecia ser um gerador simples de pacote... só que
tinha uma boa máquina
e um link bom a disposição ...



> A operadora tem blackhole via BGP, então, é tranquilo mas bloqueia só o
> destino.
>
O problema e' identificar..


Até que não foi ... o router é um Linux com Quagga ... tcpdump + PF_RING é
só alegria ... :-)



 Aliás, as operadoras deveriam ter capacidade (na verdade é vontade) de
> bloquear origem.
>

Algumas tem para uso interno, outras tem inclusive como fazer flow-spec, so
> que nunca vi flow-spec entre dominios implementado..


Que tem, certamente !
Mas já passamos da época que ACL derrubava router né ?
Já tava na hora das carriers mudarem esse discurso ...


A propósito a Intelig estava ligando pra gente pra falar sobre bloqueio, ou
>> seja, eles tem alguma ferramenta pra detectar esse tipo de situação. Só
>> não
>> sei qual seria a posição (deixar o pau comer, bloquear destino,
>> desabilitar
>> porta, etc) deles caso não tivessem conseguido falar conosco.
>>
>
> Provavelmente eles nao poderiam fazer nada, por que fica meio complicado
> filtrar 'sem autorizacao' do dono do trafego.
> O que eles fizeram foi identificar a anomalia, e provavelmente contactar
> voces (ate como cortesia, presumo que o SLA deles nao tem um commitment para
> isto), mas concorda que ficaria um pouco arbitrario ele filtrar ? Como vao
> eles adivinhar se nao e' algo que voce quer receber ?
> (sim, concordo que e' surreal :-) em alguns casos).
>

Eu acho que deveriam filtrar sim e não acho que isso seja uma cortesia. Toda
carrier deveria ter mecanismos
de verificação de anomalias de tráfego e políticas de bloqueio até com
shutdown de porta dependendo do caso.
Não é tão difícil saber quando o tráfego é legítimo.
No contrato com nossos clientes há cláusulas prevendo isso e se quiser
receber ataque que vá pra concorrência. :-)

Só continuo achando que bloquear destino é sacanagem.
Se for bloquear origem, eu não iria me opor porque nunca houve uma única vez
em que tivessemos tráfego legítimo
parecido com um ataque, logo ... :-)


> Em alguns provedores (nao poderia dizer se e' oferecido na Intelig), existe
> a capacidade de oferecer um servico de Clean Pipes, onde pode ir desde
> deteccao de anomalias (como o que aparentemente fizeram com voce) com email
> de notificacao, ate mesmo portal web para tomar acoes como mitigacoes
> inteligentes.
>

Sonho meu ... sonho meu ...


> PS: Obviamente, eu sou suspeito para falar deste assunto, pois trabalho na
> Arbor...include <disclaimer.h>..


Não posso reclamar da Intelig porque o serviço deles é muito bom, agora,  tá
esperando o que pra distribuir propostas ? :-)

Abraço !