[GTER] RES: Ataque no bgp

Rafael Galdino da Cunha sup.rafaelgaldino at gmail.com
Tue Feb 28 16:09:42 -03 2012


Não  Rodrigo era outra faixa, me esqueci de anotar, no momento ta normal e
sem ataque lá, pedi para meu amigo me da um toque caso lá dê problema :D

tomará que tenha normalizado por definitivo

Em 28 de fevereiro de 2012 14:56, Rodrigo Augusto
<rodrigo at 1telecom.com.br>escreveu:

> Opa!!!!!!! Amigo, por um acaso era o do bloco 173.192.38.115 ?!!??!?!!? se
> for esse estava que tava atacando meu outro link....o pior é que é só um
> blk
> da Embratel de 1 MB sem BGP nem nada....um bloco /29 da Embratel.....o que
> não entendo é que passava mais de 15 MB de ataque quando só tenho 1 MB....
>
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Rafael Galdino da Cunha
> Enviada em: terça-feira, 28 de fevereiro de 2012 14:29
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Ataque no bgp
>
> uma rb1200. onde tem 5 megas com operadora x e 5 megas com operadora y. em
> são paulo.
> hoje a cpu desceu para 15% que era o normal, mas ontem a noite e a
> madrugada de hoje quando estavam atacando ficou em 75%
>
> o problema que nem observei o ip corretamente para entrar em contato com os
> datacenters, se não me engano um era softlayer.
>
> a regra foi apenas de drop mesmo a porta 179 tcp except as das duas
> operadoras.
>
> o ataque não era para o /30
> era para um ip tipo 200.200.200.1/24 ja numa interface interna do router.
>
> ser espoofado so se fosse udp correto? ou já conseguem spoofar em tcp
> utilizando origem qualquer ip?
>
> por hora está ok, mas o cara lá ficou doidinho, e é a primeira vez que vejo
> isso.
>
> Em 28 de fevereiro de 2012 10:16, Patrick Barreto Petronetto <
> patrickbp at gmail.com> escreveu:
>
> > Se são sempre os mesmos ips, seu amigo pode solicitar que a operadora
> faça
> > o bloqueio e depois informar os responsáveis pelos ips (data centers)
> sobre
> > o ataque.
> >
> > 2012/2/28 Rafael Galdino da Cunha <sup.rafaelgaldino at gmail.com>
> >
> > > Boa noite srs, hoje me deparei com um amigo que tem ASN e que sua
> > > conexão bgp estava caindo, segundo uma operadora falou que poderia ser
> > > problema físico cabos ou ataque, os cabos tudo ok, mas quando fomos
> > > verificar realmente estava tendo ataque num ip de rede no roteador que
> > > tem o bgp. Pelo que observamos era uma quantidade enorme de conexões
> > > tcp porta 179 e conexões RST. O que fizemos paliativo foi dropar  tcp
> > > 179 exceto dos dois ips peer das operadoras, mas a CPU que antes
> > > ficava em 25% agora esta constantes 75%.  Alguém já passou por isso? O
> > > pior que os ips era do USA e de datacenters...
> > >
> > > Att.
> > > Rafael Galdino
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Att.
>
> Rafael Galdino
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Att.

Rafael Galdino



More information about the gter mailing list