[GTER] ataques

Rubens Kuhl rubensk at gmail.com
Wed Dec 3 18:58:05 -02 2014


On Wed, Dec 3, 2014 at 3:26 PM, Rodrigo Augusto <rodrigo at 1telecom.com.br>
wrote:

> Pessoal, segue um exemplo dos logs gerados no nfdump de uns flows
> exportados
> de um cliente nosso que recebeu um ataque hoje. alterei o ip de destino
> para
> xxxxx para preservar o nosso cliente.
> Embora os src ip sejam alguns válidos de fato e com ³dono², acredito que
> sejam todos spoffingŠ
> Tem algo a se fazer em um caso desses? O fornecedor está nos ajudando
> verificando de que peer veio o ataque( a elevacao de banda) e assim falar
> com o seu peer, e assim sucessivamenteŠe ir cercando até encontrarŠsao
> vários ip¹s com vários pacotes por segundoŠ essa ainda foi legal, passou
> apenas 2GB de banda 900kppsŠ
>
>
>
>
> nfdump -M /var/nfsen/profiles-data/live/xxxxxxxxxxx  -T  -r
> 2014/12/03/nfcapd.201412030910 -n 200 -s record/flows
> Aggregated flows 190707
> Top 200 flows ordered by flows:
> Date first seen          Duration Proto      Src IP Addr:Port          Dst
> IP Addr:Port   Packets   Bytes Flows
> 2014-11-25 10:03:17.439   281.240 UDP      110.125.1.203:1900  ->
> xxx.xxx.xxx.xxx:2000      193    63550    15
> 2014-11-25 10:03:19.699   282.810 UDP     184.153.163.26:1900  ->
> xxx.xxx.xxx.xxx:2000       92    30620    15
>

É sempre o mesmo IP ? 2000 UDP é potar do Skinny/SCCP, o pacote parece
estar tentando floodar ou parece estar tentando logar no PABX ?



Rubens



More information about the gter mailing list