[GTER] Ataques com IPs spoofados
Juliano Primavesi | KingHost
juliano at kinghost.com.br
Fri Dec 23 16:05:01 -02 2011
Em geral é dificil de rastrear, uma vez que a operadora nao tem
historico de flow de tudo que passa na rede dela, entao... só dá pra
rastrear na hora em que ocorrem.
Com o tempo, voce percebe que a coisa mais produtiva a fazer é lançar um
blackhole na ponta por onde vem o ataque e esquecer do ataque.
Juliano
Em 23/12/2011 15:42, Rubens Kuhl escreveu:
> 2011/12/22 Filipe Mendes<filipe.m at hostdime.com.br>:
>> Olá Pessoal
>>
>> Como vocês lidam com ataques em que a origem é spoofada? Não falo na
>> filtragem, que pode ser feita por outros métodos eficazes, mas sim no que
>> diz respeito a identificação do atacante. Vocês sempre ignoram ou procuram
>> saber da operadora de onde vem aquele spike no gráfico, pra que a operadora
>> veja de onde veio os spikes, pra que a outra operadora veja, etc, etc, até
>> chegar na origem?
>>
>> Falo de spike de gráfico pois entendo ser a única forma de identificar de
>> onde vem um ataque quando o mesmo é spoofado. Alguém já teve sucesso para
>> saber de onde veio utilizando esse método?
> Vários ataques que reportei tiveram suas origens identificadas, mas
> por questões de sigilo contratual a identificação sempre ficou de
> conhecimento apenas da operadora de origem. O que em geral eu acaba
> sabendo é, na operadora onde estava chegando o ataque, por qual
> operadora ele estava vindo. Exemplo: a Embratel informar que o ataque
> estava vindo via MCI e que a MCI estava checando de onde estava vindo.
>
> O rastreamento em si é em geral feito pelos flows usando o IP atacado
> como chave de busca; spikes de tráfego para você podem não fazer
> cosquinha nos backbones.
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list