[GTER] Melhores Práticas em Ataques DOS/DDOS

Rosauro Baretta rosauro at rline.com.br
Mon Aug 13 23:01:12 -03 2012


Pessoal,

agora já conseguimos implementar o blackhole pela GVT, e as coisas já 
estão mais faceis, mas estou procurando melhorar alguns itens para 
facilitar o nosso trabalho em outros casos como estes.

- Para melhorar a performance do roteador (usamos vyatta aqui para BGP) 
é interessante diminuir o tempo que o roteador mantem o rastreamento das 
conexoes ?
- alguém indica algum aplicativo para monitorar alguma anomalia no 
trafego do provedor, exemplo o NTOP ?


Atenciosamente,

Rosauro Baretta
Fixo: 46 3555 8000
Cel Claro: 46 8401 4560
Cel TIM: 46 9975 2565

Em 12-08-2012 18:16, Rafael Cresci escreveu:
> Basta entrar em contato com os brasileiros donos destes IPs tb:
>
> rafael$ whois 63.143.40.194
> #
> # Query terms are ambiguous.  The query is assumed to be:
> #     "n 63.143.40.194"
> #
> # Use "?" to get help.
> #
>
> #
> # The following results may also be obtained via:
> # http://whois.arin.net/rest/nets;q=63.143.40.194?showDetails=true&showARIN=false&ext=netref2
> #
>
> NetRange:       63.143.32.0 - 63.143.63.255
> CIDR:           63.143.32.0/19
> OriginAS:       AS46475
> NetName:        LSN-DLLSTX-8
> NetHandle:      NET-63-143-32-0-1
> Parent:         NET-63-0-0-0-0
> NetType:        Direct Allocation
> Comment:        http://limestonenetworks.com/
> RegDate:        2011-10-27
> Updated:        2012-02-24
> Ref:            http://whois.arin.net/rest/net/NET-63-143-32-0-1
>
> OrgName:        Limestone Networks, Inc.
> OrgId:          LIMES-2
> Address:        400 S. Akard Street
> Address:        Suite 200
> City:           Dallas
> StateProv:      TX
> PostalCode:     75202
> Country:        US
> RegDate:        2007-12-04
> Updated:        2010-01-26
> Comment:        http://limestonenetworks.com/
> Ref:            http://whois.arin.net/rest/org/LIMES-2
>
> ReferralServer: rwhois://rwhois.limestonenetworks.com:4321
>
> OrgTechHandle: NOC2791-ARIN
> OrgTechName:   Network Operations Center
> OrgTechPhone:  +1-214-242-3600
> OrgTechEmail:  noc at limestonenetworks.com
> OrgTechRef:    http://whois.arin.net/rest/poc/NOC2791-ARIN
>
> OrgAbuseHandle: ABUSE1804-ARIN
> OrgAbuseName:   Abuse
> OrgAbusePhone:  +1-214-586-0555
> OrgAbuseEmail:  abuse at limestonenetworks.com
> OrgAbuseRef:    http://whois.arin.net/rest/poc/ABUSE1804-ARIN
>
> #
> # ARIN WHOIS data and services are subject to the Terms of Use
> # available at: https://www.arin.net/whois_tou.html
> #
>
> Rafaels-MacBook-Air:~ rafael$ whois -h rwhois.limestonenetworks.com -p4321 63.143.40.194
> %rwhois V-1.5:003fff:00 rwhois.limestonenetworks.com (by Network Solutions, Inc. V-1.5.9.5)
> network:Class-Name:network
> network:ID:LSN-BLK-63.143.32.0/19
> network:Auth-Area:63.143.32.0/19
> network:Network-Name:LSN-63.143.32.0/19
> network:IP-Network:63.143.40.192/29
> network:IP-Network-Block:63.143.40.192 - 63.143.40.199
> network:Organization-Name:Virtual Brasil
> network:Organization-City:São Vicente
> network:Organization-State:OT
> network:Organization-Zip:11320201
> network:Organization-Country:BR
> network:Tech-Contact;I:abuse at limestonenetworks.com
> network:Admin-Contact;I:abuse at limestonenetworks.com
> network:Updated-By:admin at limestonenetworks.com
>
> network:Class-Name:network
> network:ID:LSN-BLK-63.143.32.0/19
> network:Auth-Area:63.143.32.0/19
> network:Network-Name:LSN-63.143.32.0/19
> network:IP-Network:63.143.32.0/19
> network:IP-Network-Block:63.143.32.0 - 63.143.63.255
> network:Organization;I:Limestone Networks
> network:Tech-Contact;I:ipadmin at limestonenetworks.com
> network:Admin-Contact;I:admin at limestonenetworks.com
> network:Created:20080129
> network:Updated:20080129
> network:Updated-By:admin at limestonenetworks.com
>
> %referral rwhois://root.rwhois.net:4321/auth-area=.
> %ok
>
>
> O outro provedor (DigitalOne) não publica info no rwhois….
>
>
>
> On 11/08/2012, at 16:38, Rosauro Baretta<rosauro at rline.com.br>  wrote:
>
>> Itamar,
>>
>> no caso nós já haviamos identificado os ips dos ataques, mas queria ver se tinha algo a mais que pude-se ser feito.
>>
>> no nosso caso o ataque foi para varios ips da nossa rede, sendo sempre Flood UDP ou ICMP.
>>
>> das origens dos ataques que eram aqui do Brasil conseguimos contatos com os detentores dos IPs, e 2 ips internacionais (212.124.124.52 e 63.143.40.194) neste caso mandamos e-mail para o abuse dos detentores dos IPs, mas ainda não recebemos nenhuma resposta (e nem sei se vamos receber resposta :-(  )
>>
>> o nosso link principal (maior) é da GVT, e infelizmente desde ontem a noite até o momento não conseguimos contato com ninguém da GVT que conseguiu nos ajudar, até agradeço se tiver algum partipante da GVT que possa entrar em contato comigo.. ou se alguém tiver o contato e puder me enviar em pvt.
>>
>> Em tempo desde o meio dia, nao tivemos mais problemas de ataques
>>
>> Obrigado a todos que colaboraram.
>>
>>
>> Atenciosamente,
>>
>> Rosauro Baretta
>> Fixo: 46 3555 8000
>> Cel Claro: 46 8401 4560
>> Cel TIM: 46 9975 2565
>>
>> Em 10-08-2012 19:19, Itamar Reis Peixoto escreveu:
>>> 2012/8/10 Rosauro Baretta<rosauro at rline.com.br>:
>>>> Boa noite,
>>>>
>>>> gostaria de ajuda dos colegas, pois estamos passando pela seguinte situação:
>>>>
>>>> temos 2 links com GVT e OI, e estamos sofrendo ataques DOS/DDOS com destino
>>>> a ips de nossos clientes... mas como a banda que vem no ataque é grande
>>>> acaba derrubando toda a nossa rede em vários momentos, de momento o que
>>>> melhor funciona é solicitar para as operadoras bloquearem do lado deles..
>>>> mas o problema é a demora para isso ser feito....
>>>>
>>>> Também estamos anunciando as redes atacadas em apenas um link (e também ja
>>>> testamos deixar sem anunciar as redes) ai conseguimos sucesso, mas o
>>>> problema que ai o ataque logo aparece em outras redes...
>>>>
>>>> Aproveito para tirar uma duvida, a community  de Blackhole das operadoras,
>>>> eu posso passar para a operadora o IP de origem que está me gerando o ataque
>>>> ?
>>>>
>>>> e o que os colegas mais experientes no assunto me recomendam a fazer ?
>>>>
>>>>
>>>>
>>>> --
>>>> Atenciosamente,
>>>>
>>>> Rosauro Baretta
>>>> Fixo: 46 3555 8000
>>>> Cel Claro: 46 8401 4560
>>>> Cel TIM: 46 9975 2565
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> acredito que  é uma otima oportunidade para aprimorar seus conhecimentos em bgp
>>>
>>> o primeiro passo é descobrir de onde vem o ataque e para onde vai,
>>>
>>> ferramentas como tcpdump, iptraf e outras poderao te ajudar.
>>>
>>>
>>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list