[GTER] ataques

Rodrigo Augusto rodrigo at 1telecom.com.br
Thu Dec 4 10:09:52 -02 2014


O pior rubens é que este ip nem uso se encontra na rede…como o pacote é
UDP ele nao requer retorno de resposta…falei com o cliente sobre a porta
em questao( sccp), pedí que ele desativasse ou que em sua borda ou
firewall que antecede seus roteadores de acesso que criasse uma regra de
forward boqueando o tráfego passante que a procura fosse a porta 2000,
portas de mikrotik, ntp etc……


Rodrigo Augusto
Gestor de T.I. Grupo Connectoway
http://www.connectoway.com.br <http://www.connectoway.com.br/>
http://www.1telecom.com.br <http://www.1telecom.com.br/>
* rodrigo at connectoway.com.br
( (81) 3497-6060
( (81) 8184-3646
( INOC-DBA 52965*100




On 03/12/14 17:58, "Rubens Kuhl" <rubensk at gmail.com> wrote:

>On Wed, Dec 3, 2014 at 3:26 PM, Rodrigo Augusto <rodrigo at 1telecom.com.br>
>wrote:
>
>> Pessoal, segue um exemplo dos logs gerados no nfdump de uns flows
>> exportados
>> de um cliente nosso que recebeu um ataque hoje. alterei o ip de destino
>> para
>> xxxxx para preservar o nosso cliente.
>> Embora os src ip sejam alguns válidos de fato e com ³dono², acredito que
>> sejam todos spoffingŠ
>> Tem algo a se fazer em um caso desses? O fornecedor está nos ajudando
>> verificando de que peer veio o ataque( a elevacao de banda) e assim
>>falar
>> com o seu peer, e assim sucessivamenteŠe ir cercando até encontrarŠsao
>> vários ip¹s com vários pacotes por segundoŠ essa ainda foi legal, passou
>> apenas 2GB de banda 900kppsŠ
>>
>>
>>
>>
>> nfdump -M /var/nfsen/profiles-data/live/xxxxxxxxxxx  -T  -r
>> 2014/12/03/nfcapd.201412030910 -n 200 -s record/flows
>> Aggregated flows 190707
>> Top 200 flows ordered by flows:
>> Date first seen          Duration Proto      Src IP Addr:Port
>>Dst
>> IP Addr:Port   Packets   Bytes Flows
>> 2014-11-25 10:03:17.439   281.240 UDP      110.125.1.203:1900  ->
>> xxx.xxx.xxx.xxx:2000      193    63550    15
>> 2014-11-25 10:03:19.699   282.810 UDP     184.153.163.26:1900  ->
>> xxx.xxx.xxx.xxx:2000       92    30620    15
>>
>
>É sempre o mesmo IP ? 2000 UDP é potar do Skinny/SCCP, o pacote parece
>estar tentando floodar ou parece estar tentando logar no PABX ?
>
>
>
>Rubens
>--
>gter list    https://eng.registro.br/mailman/listinfo/gter





More information about the gter mailing list