[GTER] Melhores Práticas em Ataques DOS/DDOS
Rosauro Baretta
rosauro at rline.com.br
Mon Aug 13 23:01:12 -03 2012
Pessoal,
agora já conseguimos implementar o blackhole pela GVT, e as coisas já
estão mais faceis, mas estou procurando melhorar alguns itens para
facilitar o nosso trabalho em outros casos como estes.
- Para melhorar a performance do roteador (usamos vyatta aqui para BGP)
é interessante diminuir o tempo que o roteador mantem o rastreamento das
conexoes ?
- alguém indica algum aplicativo para monitorar alguma anomalia no
trafego do provedor, exemplo o NTOP ?
Atenciosamente,
Rosauro Baretta
Fixo: 46 3555 8000
Cel Claro: 46 8401 4560
Cel TIM: 46 9975 2565
Em 12-08-2012 18:16, Rafael Cresci escreveu:
> Basta entrar em contato com os brasileiros donos destes IPs tb:
>
> rafael$ whois 63.143.40.194
> #
> # Query terms are ambiguous. The query is assumed to be:
> # "n 63.143.40.194"
> #
> # Use "?" to get help.
> #
>
> #
> # The following results may also be obtained via:
> # http://whois.arin.net/rest/nets;q=63.143.40.194?showDetails=true&showARIN=false&ext=netref2
> #
>
> NetRange: 63.143.32.0 - 63.143.63.255
> CIDR: 63.143.32.0/19
> OriginAS: AS46475
> NetName: LSN-DLLSTX-8
> NetHandle: NET-63-143-32-0-1
> Parent: NET-63-0-0-0-0
> NetType: Direct Allocation
> Comment: http://limestonenetworks.com/
> RegDate: 2011-10-27
> Updated: 2012-02-24
> Ref: http://whois.arin.net/rest/net/NET-63-143-32-0-1
>
> OrgName: Limestone Networks, Inc.
> OrgId: LIMES-2
> Address: 400 S. Akard Street
> Address: Suite 200
> City: Dallas
> StateProv: TX
> PostalCode: 75202
> Country: US
> RegDate: 2007-12-04
> Updated: 2010-01-26
> Comment: http://limestonenetworks.com/
> Ref: http://whois.arin.net/rest/org/LIMES-2
>
> ReferralServer: rwhois://rwhois.limestonenetworks.com:4321
>
> OrgTechHandle: NOC2791-ARIN
> OrgTechName: Network Operations Center
> OrgTechPhone: +1-214-242-3600
> OrgTechEmail: noc at limestonenetworks.com
> OrgTechRef: http://whois.arin.net/rest/poc/NOC2791-ARIN
>
> OrgAbuseHandle: ABUSE1804-ARIN
> OrgAbuseName: Abuse
> OrgAbusePhone: +1-214-586-0555
> OrgAbuseEmail: abuse at limestonenetworks.com
> OrgAbuseRef: http://whois.arin.net/rest/poc/ABUSE1804-ARIN
>
> #
> # ARIN WHOIS data and services are subject to the Terms of Use
> # available at: https://www.arin.net/whois_tou.html
> #
>
> Rafaels-MacBook-Air:~ rafael$ whois -h rwhois.limestonenetworks.com -p4321 63.143.40.194
> %rwhois V-1.5:003fff:00 rwhois.limestonenetworks.com (by Network Solutions, Inc. V-1.5.9.5)
> network:Class-Name:network
> network:ID:LSN-BLK-63.143.32.0/19
> network:Auth-Area:63.143.32.0/19
> network:Network-Name:LSN-63.143.32.0/19
> network:IP-Network:63.143.40.192/29
> network:IP-Network-Block:63.143.40.192 - 63.143.40.199
> network:Organization-Name:Virtual Brasil
> network:Organization-City:São Vicente
> network:Organization-State:OT
> network:Organization-Zip:11320201
> network:Organization-Country:BR
> network:Tech-Contact;I:abuse at limestonenetworks.com
> network:Admin-Contact;I:abuse at limestonenetworks.com
> network:Updated-By:admin at limestonenetworks.com
>
> network:Class-Name:network
> network:ID:LSN-BLK-63.143.32.0/19
> network:Auth-Area:63.143.32.0/19
> network:Network-Name:LSN-63.143.32.0/19
> network:IP-Network:63.143.32.0/19
> network:IP-Network-Block:63.143.32.0 - 63.143.63.255
> network:Organization;I:Limestone Networks
> network:Tech-Contact;I:ipadmin at limestonenetworks.com
> network:Admin-Contact;I:admin at limestonenetworks.com
> network:Created:20080129
> network:Updated:20080129
> network:Updated-By:admin at limestonenetworks.com
>
> %referral rwhois://root.rwhois.net:4321/auth-area=.
> %ok
>
>
> O outro provedor (DigitalOne) não publica info no rwhois….
>
>
>
> On 11/08/2012, at 16:38, Rosauro Baretta<rosauro at rline.com.br> wrote:
>
>> Itamar,
>>
>> no caso nós já haviamos identificado os ips dos ataques, mas queria ver se tinha algo a mais que pude-se ser feito.
>>
>> no nosso caso o ataque foi para varios ips da nossa rede, sendo sempre Flood UDP ou ICMP.
>>
>> das origens dos ataques que eram aqui do Brasil conseguimos contatos com os detentores dos IPs, e 2 ips internacionais (212.124.124.52 e 63.143.40.194) neste caso mandamos e-mail para o abuse dos detentores dos IPs, mas ainda não recebemos nenhuma resposta (e nem sei se vamos receber resposta :-( )
>>
>> o nosso link principal (maior) é da GVT, e infelizmente desde ontem a noite até o momento não conseguimos contato com ninguém da GVT que conseguiu nos ajudar, até agradeço se tiver algum partipante da GVT que possa entrar em contato comigo.. ou se alguém tiver o contato e puder me enviar em pvt.
>>
>> Em tempo desde o meio dia, nao tivemos mais problemas de ataques
>>
>> Obrigado a todos que colaboraram.
>>
>>
>> Atenciosamente,
>>
>> Rosauro Baretta
>> Fixo: 46 3555 8000
>> Cel Claro: 46 8401 4560
>> Cel TIM: 46 9975 2565
>>
>> Em 10-08-2012 19:19, Itamar Reis Peixoto escreveu:
>>> 2012/8/10 Rosauro Baretta<rosauro at rline.com.br>:
>>>> Boa noite,
>>>>
>>>> gostaria de ajuda dos colegas, pois estamos passando pela seguinte situação:
>>>>
>>>> temos 2 links com GVT e OI, e estamos sofrendo ataques DOS/DDOS com destino
>>>> a ips de nossos clientes... mas como a banda que vem no ataque é grande
>>>> acaba derrubando toda a nossa rede em vários momentos, de momento o que
>>>> melhor funciona é solicitar para as operadoras bloquearem do lado deles..
>>>> mas o problema é a demora para isso ser feito....
>>>>
>>>> Também estamos anunciando as redes atacadas em apenas um link (e também ja
>>>> testamos deixar sem anunciar as redes) ai conseguimos sucesso, mas o
>>>> problema que ai o ataque logo aparece em outras redes...
>>>>
>>>> Aproveito para tirar uma duvida, a community de Blackhole das operadoras,
>>>> eu posso passar para a operadora o IP de origem que está me gerando o ataque
>>>> ?
>>>>
>>>> e o que os colegas mais experientes no assunto me recomendam a fazer ?
>>>>
>>>>
>>>>
>>>> --
>>>> Atenciosamente,
>>>>
>>>> Rosauro Baretta
>>>> Fixo: 46 3555 8000
>>>> Cel Claro: 46 8401 4560
>>>> Cel TIM: 46 9975 2565
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>> acredito que é uma otima oportunidade para aprimorar seus conhecimentos em bgp
>>>
>>> o primeiro passo é descobrir de onde vem o ataque e para onde vai,
>>>
>>> ferramentas como tcpdump, iptraf e outras poderao te ajudar.
>>>
>>>
>>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list