[GTER] ataques
Rodrigo Augusto
rodrigo at 1telecom.com.br
Thu Dec 4 10:09:52 -02 2014
O pior rubens é que este ip nem uso se encontra na rede…como o pacote é
UDP ele nao requer retorno de resposta…falei com o cliente sobre a porta
em questao( sccp), pedí que ele desativasse ou que em sua borda ou
firewall que antecede seus roteadores de acesso que criasse uma regra de
forward boqueando o tráfego passante que a procura fosse a porta 2000,
portas de mikrotik, ntp etc……
Rodrigo Augusto
Gestor de T.I. Grupo Connectoway
http://www.connectoway.com.br <http://www.connectoway.com.br/>
http://www.1telecom.com.br <http://www.1telecom.com.br/>
* rodrigo at connectoway.com.br
( (81) 3497-6060
( (81) 8184-3646
( INOC-DBA 52965*100
On 03/12/14 17:58, "Rubens Kuhl" <rubensk at gmail.com> wrote:
>On Wed, Dec 3, 2014 at 3:26 PM, Rodrigo Augusto <rodrigo at 1telecom.com.br>
>wrote:
>
>> Pessoal, segue um exemplo dos logs gerados no nfdump de uns flows
>> exportados
>> de um cliente nosso que recebeu um ataque hoje. alterei o ip de destino
>> para
>> xxxxx para preservar o nosso cliente.
>> Embora os src ip sejam alguns válidos de fato e com ³dono², acredito que
>> sejam todos spoffingŠ
>> Tem algo a se fazer em um caso desses? O fornecedor está nos ajudando
>> verificando de que peer veio o ataque( a elevacao de banda) e assim
>>falar
>> com o seu peer, e assim sucessivamenteŠe ir cercando até encontrarŠsao
>> vários ip¹s com vários pacotes por segundoŠ essa ainda foi legal, passou
>> apenas 2GB de banda 900kppsŠ
>>
>>
>>
>>
>> nfdump -M /var/nfsen/profiles-data/live/xxxxxxxxxxx -T -r
>> 2014/12/03/nfcapd.201412030910 -n 200 -s record/flows
>> Aggregated flows 190707
>> Top 200 flows ordered by flows:
>> Date first seen Duration Proto Src IP Addr:Port
>>Dst
>> IP Addr:Port Packets Bytes Flows
>> 2014-11-25 10:03:17.439 281.240 UDP 110.125.1.203:1900 ->
>> xxx.xxx.xxx.xxx:2000 193 63550 15
>> 2014-11-25 10:03:19.699 282.810 UDP 184.153.163.26:1900 ->
>> xxx.xxx.xxx.xxx:2000 92 30620 15
>>
>
>É sempre o mesmo IP ? 2000 UDP é potar do Skinny/SCCP, o pacote parece
>estar tentando floodar ou parece estar tentando logar no PABX ?
>
>
>
>Rubens
>--
>gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list