[GTER] ataques
Rubens Kuhl
rubensk at gmail.com
Wed Dec 3 18:58:05 -02 2014
On Wed, Dec 3, 2014 at 3:26 PM, Rodrigo Augusto <rodrigo at 1telecom.com.br>
wrote:
> Pessoal, segue um exemplo dos logs gerados no nfdump de uns flows
> exportados
> de um cliente nosso que recebeu um ataque hoje. alterei o ip de destino
> para
> xxxxx para preservar o nosso cliente.
> Embora os src ip sejam alguns válidos de fato e com ³dono², acredito que
> sejam todos spoffingŠ
> Tem algo a se fazer em um caso desses? O fornecedor está nos ajudando
> verificando de que peer veio o ataque( a elevacao de banda) e assim falar
> com o seu peer, e assim sucessivamenteŠe ir cercando até encontrarŠsao
> vários ip¹s com vários pacotes por segundoŠ essa ainda foi legal, passou
> apenas 2GB de banda 900kppsŠ
>
>
>
>
> nfdump -M /var/nfsen/profiles-data/live/xxxxxxxxxxx -T -r
> 2014/12/03/nfcapd.201412030910 -n 200 -s record/flows
> Aggregated flows 190707
> Top 200 flows ordered by flows:
> Date first seen Duration Proto Src IP Addr:Port Dst
> IP Addr:Port Packets Bytes Flows
> 2014-11-25 10:03:17.439 281.240 UDP 110.125.1.203:1900 ->
> xxx.xxx.xxx.xxx:2000 193 63550 15
> 2014-11-25 10:03:19.699 282.810 UDP 184.153.163.26:1900 ->
> xxx.xxx.xxx.xxx:2000 92 30620 15
>
É sempre o mesmo IP ? 2000 UDP é potar do Skinny/SCCP, o pacote parece
estar tentando floodar ou parece estar tentando logar no PABX ?
Rubens
More information about the gter
mailing list