[GTER] ataques

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Thu Dec 4 17:21:59 -02 2014


> On 03/12/2014, at 18:53, Rodrigo Augusto <rodrigo at 1telecom.com.br> wrote:
> 
> Exato.o destino é sempre o mesmo bloco do cliente…sao 4 sessoes BGP em
> lugares distintos deste mesmo cliente…

OK mas com quais upstreams?

> hoje ele atacou duas ressoes…do
> bloco 51.xxx e 53.xx…..neste momento está na BH da operadora…isolei e
> deixei-os apenas com uma saída…e nela jogo na BH ou em community
> internacional… porém os ip’s atacados nem em uso estao… é aleatório em
> direcao ao bloco…estou vendo a documentacao deles e preparando para deixar
> automático… o cliente me manda a community, eu trato aqui e community add
> do upstream… assim ele joga pra mim e eu jogo para a operadora…

Entendi é cliente seu de transito. Todas essas pontos o upstream é você? E você anuncia seu cliente pra fora do Brasil por quais saídas?

> a sua idéia é excelente Tracanelli, vou ver com eles se tem alguma
> community para bloqueio na ASIA…

Mesmo que eles não tenham, por política, pede com jeito. Com a NTT por exemplo já consegui uma community p/ evitar export pra CN e KR o que é muito mais do que eu precisava (só precisava ASIA de forma bem generalista). Claro que dentro do que a NTT trata nesses países, mas como era nesse cliente em especifico a única saída pra fora do Brasil, foi suficiente.

> o problema que vejo é que é algo
> direcionado para a Paraíba…hoje conversei com um colega que tem outro
> fornecedor na paraíba e ele sofre da mesma coisa…ataques constantes vindos
> da ASIA….

Pois é mas enquanto tem um padrão (ASIA nesse caso) é um caminho a seguir. Voce ja deve ter mapeado por onde esse trafego internacional entra, nessa borda você tem autonomia de por uma caixa sua la? Ou filtrar na sua ponta de alguma forma ajudaria? Pq esse padrão de tráfego é direcionado a porta especifica, UDP no transporte, pacotes pequenos, enfim é um pattern previsível. 

> Como realizar denuncias no CSIRT ?

Meu sonho termos uma receita de bolo infalível ne? O maior problema é na verdade identificar quem é o CSIRT/NOC ou time de crise.

No meu caso, em diversos clientes, a origem do ataque tinha como transito um desses caras:

1) AS9002 - Nem sei quem é mas dei um whois -h whois.ripe.net AS9002 e vi o seguinte:

% Abuse contact for 'AS9002' is 'abuse at retn.net’

Enviamos e-mail e fomos respondidos muito rapidamente e conseguimos ajuda. Resumindo funcionou.

2) AS12956 - Essa sabemos bem, TIWS, os contatos são security.tiws at telefonica.com, abuse.tiws at telefonica.com e eu tinha o telefone do contato, Jonathan, na espanha que responde no e-mail ip_coord.tiws at telefonica.com. O atendimento rolou mas a solução eu não sei se eles filtraram ou se parou pq parou.

3) AS209 Esse é a QWest, o tratamento foi por telefone, em +1 (877) 886-6515 cai num service desk da Century; foi rápido achar a pessoa certa, protocolamos o problema e disseram que tratariam internamente. Retornaram por telefone em celular do Brasil (achei uma pérola) pra confirmar se o problema tinha sido resolvido dias depois. Tinha sido mas também não sei se por ação deles ou se parou pq parou...

4) AS3320 É a Deutsche Telekom AG, foi o melhor e mais rápido atendimento de crise que ja tive. Demorou pra eu encontrar o caminho das pedras, mas com a ajuda do Brian do Cymru Team consegue o telefone +49 (441) 2344-541 e achei a pessoa: Wolf K. (perguntei se era Wolfgang Krauser igual ao personagem do video game e pra minha surpresa ele jogava Fatal Fury hehehe, não sei se isso ajudou ou se o atendimento ja seria bom mesmo).

O caso foi, meu peer nesse cliente era a NTT com quem a DTAG troca. O Wolf pediu meu telefone e número do ticket que eu ja tinha que ter aberto junto à NTT, e disse que retornaria em conferencia. Eu pensei “nunca mais consigo falar com o cidadão”, 20 minutos depois liga ele ja com um técnico da NTT na linha, que estava la só pra confirmar que eu era cliente e que a NTT estava a par do caso. Por telefone mesmo ele apoiou a identificação da origem do tráfego que passava por ele (Korea do Norte nesse caso, inclusive origens algumas iguais as que vi no seu flow ai). Filtrou meu anuncio pra essa região, chegando nele pela NTT, e resolveu o problema na hora, durante a conf mesmo.

5) AS3356, essa é a L3, telefone conhecido de crise ja, é o +(44) 08000 927-729, tem no site deles e em todos os PDF que tratam de community BGP. Nesse caso quando precisei era um problema com Kiev, perguntei pq a community 3356:521 não funcionava, ele esclarecer que seria a community 3356:554 e que minha expectativa estava errada, a community só ia permitir que eu filtrasse minha saída mas não era uma política de TE pra mim. Me orientou o que eu deveria fazer, depois por e-mail, apliquei a recomendação que não funcionou mas apos minha negativa fizeram algo la e passou a funcionar e felizmente rolou, Kiev (acho que a Ucrania inteira, antiga URSS inteira não me importei) não recebia mais meus prefixos anunciados pro mundo e eu sai do radar de quem estava gerando o ataque.

Foi um dos infelizes casos de amplificação NTP que acho que todo mundo sofreu!

6) AS7018 é a AT&T, eles são saída e transporte de um cliente que tem presença no IXP Ashburn, via Equinix. O contato pra crise foi direto no portal da Equinix, tudo foi tratado por e-mail/portal e resolvido. O ataque também era da Asia mas chegava via Ashburn e era transportado pela ATT. Não sei se filtraram ou se parou por parar também pq levou umas boas horas, mas parou. Hoje somos clientes em Miami da AT&T e espero conseguir um canal direto pra crises.

Enfim não é tudo o mesmo caso, foram vários problemas, clientes distintos que nós atendemos, origens de problemas distintos e soluções por transito distintos.

Vou te falar que o sofrimento é grande, quando isso acontece passo dias pendurado ao telefone ou mandando e-mails, mas tem resolvido. As vezes fica claro que resolveu por intervenção, as vezes é aquilo… o ataque simplesmente cessa. Como quase nunca tenho um Looking Glass que realmente me mostra o que esses asiáticos/europeus-em-guerra/etc enxergam de verdade, fico meio cego se a solução veio com rejeição de anúncios de prefixo dos clientes, ou se o ataque parou por outros motivos.

Uma coisa preocupante é que uma boa parte desses ataques direcionados, como parece ser o seu caso ja que voce identificou Paraíba com alvo, vem de botaste alugadas a preço de banana e negociadas no IRC. O preocupante é a facilidade de se alugar uma máquina bem conectada, sem filtros de ingress que evitem spoofing na origem, a baixo custo (coisa de 200 dolares/dia, ou menos) e principalmente a ausência de communities publicas e claras que filtrem esse povo.

Principalmente pra quem tem uma perna pro mundo com operadoras nacionais, como GVT, OI, Vivo, ALGAR. Simplesmente não tem uma política clara pra rejeição dos nossos proprios anúncios pra essas regiões. Quase sempre é tudo ou nada (sem internacional, com internacional) ou as vezes, algo um pouco melhor mas insuficiente (sem europa, com europa, seu EUA, com EUA).

Ou seja o que deveria poder ser resolvido com o upstream direto, acabamos tendo que envolver transitos que as vezes nem se relacionam com esse upstream mas sim outro peer dele. E ai sem ter uma relação de negócio sequer de segundo nível com o transito, ficamos dependendo da boa vontade e um pouco da sorte.

Sempre que isso acontece eu falo pros meus clientes: cobra da operadora que te atende! Ela TEM que ter um plano de crise pra te ajudar. Mesmo depois q resolvemos o problema eu falo pro cliente cobrar da operadora. Mas quase nunca cobra as pessoas só se preocupam com o problema "de hoje".


> Rodrigo Augusto
> Gestor de T.I. Grupo Connectoway
> http://www.connectoway.com.br <http://www.connectoway.com.br/>
> http://www.1telecom.com.br <http://www.1telecom.com.br/>
> * rodrigo at connectoway.com.br
> ( (81) 3497-6060
> ( (81) 8184-3646
> ( INOC-DBA 52965*100
> 
> 
> 
> 
> On 03/12/14 15:15, "Patrick Tracanelli" <eksffa at freebsdbrasil.com.br>
> wrote:
> 
>> 
>>> On 03/12/2014, at 15:26, Rodrigo Augusto <rodrigo at 1telecom.com.br>
>>> wrote:
>>> 
>>> Pessoal, segue um exemplo dos logs gerados no nfdump de uns flows
>>> exportados
>>> de um cliente nosso que recebeu um ataque hoje. alterei o ip de destino
>>> para
>>> xxxxx para preservar o nosso cliente.
>>> Embora os src ip sejam alguns válidos de fato e com łdono˛, acredito que
>>> sejam todos spoffingŠ
>>> Tem algo a se fazer em um caso desses? O fornecedor está nos ajudando
>>> verificando de que peer veio o ataque( a elevacao de banda) e assim
>>> falar
>>> com o seu peer, e assim sucessivamenteŠe ir cercando até encontrarŠsao
>>> vários ipąs com vários pacotes por segundoŠ essa ainda foi legal, passou
>>> apenas 2GB de banda 900kppsŠ
>> 
>> Bem parecido com o caso do João Carlos, exceto que os pacotes UDP tem um
>> tamanho médio maior (300 bytes), o que é ruim que gasta mais banda hehe.
>> 
>> Todos esses IPs são asia e leste europeu também. Você notou se o destino
>> do ataque é constante? Um IP ou um mesmo CIDR? Seguindo a mesma linha
>> anterior, consegue evitar anuncio do prefixo alvo para essas regiões?
>> Communities, ASPath prepending, etc (Déjà vu da outra thread) é viável?
>> 
>> Se não for, firewall. So que quando você filtrar ja terá consumido sua
>> banda e sua vazão.
>> 
>> Agora não me parece ser forjado, apenas distribuído, ja que a maioria
>> desses IPs de origem estão anunciados e respondendo icmp ou tcp/rst. Ou
>> seja estão de pé e em uso - o que não é indício de não serem forjados,
>> mas é menos comum.
>> 
>> Recentemente tive ataque de amplificação snmp de origens similares, na
>> borda de um cliente, bloqueamos por região usando a tabela:
>> 
>> http://ipdeny.com/ipblocks/data/countries/cn.zone
>> 
>> Na verdade bloqueamos (cn|az|by|kz|kg|ru|tj|tm|uz|vn).zone
>> 
>> Depois de 2 dias e denuncias do CSIRT aos operadores do AS de transito, o
>> ataque cessou. Denunciar no AS de origem é em vão quando é CN e KR.
>> 
>> Seus upstream são quais? Do seu cliente no caso. Não tem uma community
>> esperta anti-asia não? hehe :) Rejeitar anúncios pra asia e europa
>> seletivamente, ja que a operadora esta apoiando talvez mesmo sem ter
>> communities na agulha eles possam ajudar nesse sentido se um firewall não
>> for suficiente.
>> 
>> 
>>> 
>>> 
>>> 
>>> 
>>> nfdump -M /var/nfsen/profiles-data/live/xxxxxxxxxxx  -T  -r
>>> 2014/12/03/nfcapd.201412030910 -n 200 -s record/flows
>>> Aggregated flows 190707
>>> Top 200 flows ordered by flows:
>>> Date first seen          Duration Proto      Src IP Addr:Port
>>> Dst
>>> IP Addr:Port   Packets   Bytes Flows
>>> 2014-11-25 10:03:17.439   281.240 UDP      110.125.1.203:1900  ->
>>> xxx.xxx.xxx.xxx:2000      193    63550    15
>>> 2014-11-25 10:03:19.699   282.810 UDP     184.153.163.26:1900  ->
>>> xxx.xxx.xxx.xxx:2000       92    30620    15
>>> 2014-11-25 10:03:07.199   276.210 UDP     74.212.199.178:1900  ->
>>> xxx.xxx.xxx.xxx:2000       97    31679    15
>>> 2014-11-25 10:03:15.889   280.911 UDP     76.164.135.230:1900  ->
>>> xxx.xxx.xxx.xxx:2000      104    34735    15
>>> 2014-11-25 10:03:16.539   281.160 UDP      223.86.103.60:1900  ->
>>> xxx.xxx.xxx.xxx:2000      219    70708    15
>>> 2014-11-25 10:03:09.039   277.170 UDP     76.188.213.136:1900  ->
>>> xxx.xxx.xxx.xxx:2000      124    41052    15
>>> 2014-11-25 10:03:20.429   283.200 UDP     76.184.161.101:1900  ->
>>> xxx.xxx.xxx.xxx:2000      125    41331    15
>>> 2014-11-25 10:03:17.250   281.459 UDP     112.15.157.230:1900  ->
>>> xxx.xxx.xxx.xxx:2000      198    64578    15
>>> 2014-11-25 10:03:20.280   282.979 UDP        112.71.4.58:1900  ->
>>> xxx.xxx.xxx.xxx:2000      140    47645    15
>>> 2014-11-25 10:03:08.769   276.921 UDP      114.30.27.241:1900  ->
>>> xxx.xxx.xxx.xxx:2000       84    26660    15
>>> 2014-11-25 10:03:17.189   281.371 UDP    112.122.211.170:1900  ->
>>> xxx.xxx.xxx.xxx:2000      171    55550    15
>>> 2014-11-25 10:03:17.559   281.640 UDP      114.29.118.54:1900  ->
>>> xxx.xxx.xxx.xxx:2000      116    36534    15
>>> 2014-11-25 10:03:15.369   281.391 UDP     221.248.225.14:1900  ->
>>> xxx.xxx.xxx.xxx:2000        71   25825    15
>>> 2014-11-25 10:03:16.779   281.301 UDP       1.183.169.99:1900  ->
>>> xxx.xxx.xxx.xxx:2000      282    91378    15
>>> 2014-11-25 10:03:13.749   279.651 UDP     111.199.26.173:1900  ->
>>> xxx.xxx.xxx.xxx:2000       90    28040    15
>>> 2014-11-25 10:03:19.159   282.300 UDP     110.255.55.121:1900  ->
>>> xxx.xxx.xxx.xxx:2000      193    61886    15
>>> 2014-11-25 10:03:19.929   282.950 UDP      183.132.77.60:1900  ->
>>> xxx.xxx.xxx.xxx:2000      174    56410    15
>>> 2014-11-25 10:03:09.059   277.190 UDP     110.182.18.179:1900  ->
>>> xxx.xxx.xxx.xxx:2000      121    39192    15
>>> 2014-11-25 10:03:13.399   279.380 UDP      221.0.100.118:1900  ->
>>> xxx.xxx.xxx.xxx:2000      216    69794    15
>>> 2014-11-25 10:03:08.009   276.680 UDP        74.78.35.12:1900  ->
>>> xxx.xxx.xxx.xxx:2000      106    34816    15
>>> 2014-11-25 10:03:20.649   283.250 UDP       113.140.95.2:1900  ->
>>> xxx.xxx.xxx.xxx:2000       94    29498    15
>>> 2014-11-25 10:03:07.709   276.480 UDP        186.3.20.73:1900  ->
>>> xxx.xxx.xxx.xxx:2000       95    30651   15
>>> 2014-11-25 10:03:14.270   280.119 UDP       76.169.34.99:1900  ->
>>> xxx.xxx.xxx.xxx:2000      110    36708    15
>>> 2014-11-25 10:03:07.500   276.319 UDP    220.239.246.222:1900  ->
>>> xxx.xxx.xxx.xxx:2000      122    40436    15
>>> 2014-11-25 10:03:08.840   277.049 UDP    112.155.129.111:1900  ->
>>> xxx.xxx.xxx.xxx:2000      139    43449    15
>>> 2014-11-25 10:03:08.300   276.899 UDP    186.204.143.161:1900  ->
>>> xxx.xxx.xxx.xxx:2000      128    42448    15
>>> 2014-11-25 10:03:13.969   279.840 UDP     111.113.14.234:1900  ->
>>> xxx.xxx.xxx.xxx:2000      213    68444    15
>>> 2014-11-25 10:03:08.270   276.889 UDP     76.177.184.194:1900  ->
>>> xxx.xxx.xxx.xxx:2000       85    28063    15
>>> 2014-11-25 10:03:19.889   282.841 UDP       74.64.94.225:1900  ->
>>> xxx.xxx.xxx.xxx:2000      110    36152    15
>>> 2014-11-25 10:03:17.399   281.491 UDP      113.246.18.86:1900  ->
>>> xxx.xxx.xxx.xxx:2000      209    67486    15
>>> 2014-11-25 10:03:16.239   281.100 UDP     184.144.102.17:1900  ->
>>> xxx.xxx.xxx.xxx:2000       100   32890    15
>>> 2014-11-25 10:03:09.409   277.350 UDP     183.154.212.26:1900  ->
>>> xxx.xxx.xxx.xxx:2000      201    65052    15
>>> 2014-11-25 10:03:19.729   282.840 UDP     77.105.207.197:1900  ->
>>> xxx.xxx.xxx.xxx:2000      110    32390    15
>>> 2014-11-25 10:03:12.849   280.670 UDP      222.91.53.166:1900  ->
>>> xxx.xxx.xxx.xxx:2000      226    72822    15
>>> 2014-11-25 10:03:08.879   277.110 UDP     186.15.216.134:1900  ->
>>> xxx.xxx.xxx.xxx:2000      119    39323    15
>>> 2014-11-25 10:03:14.280   279.909 UDP        221.3.81.70:1900  ->
>>> xxx.xxx.xxx.xxx:2000      194    62940    15
>>> 2014-11-25 10:03:12.879   279.190 UDP     75.105.175.230:1900  ->
>>> xxx.xxx.xxx.xxx:2000       95    31189    15
>>> 2014-11-25 10:03:08.589   276.970 UDP      76.88.176.191:1900  ->
>>> xxx.xxx.xxx.xxx:2000       121   40461    15
>>> 2014-11-25 10:03:15.729   280.730 UDP      220.94.53.175:1900  ->
>>> xxx.xxx.xxx.xxx:2000      202    65134    15
>>> 2014-11-25 10:03:09.729   277.550 UDP      223.16.51.201:1900  ->
>>> xxx.xxx.xxx.xxx:2000        79    25116   15
>>> 2014-11-25 10:03:07.149   275.941 UDP      111.165.29.32:1900  ->
>>> xxx.xxx.xxx.xxx:2000      165    53614    15
>>> 2014-11-25 10:03:20.209   282.961 UDP      220.246.56.60:1900  ->
>>> xxx.xxx.xxx.xxx:2000      130    38582    15
>>> 2014-11-25 10:03:09.570   277.430 UDP     183.132.168.13:1900  ->
>>> xxx.xxx.xxx.xxx:2000      169    55028    15
>>> 2014-11-25 10:03:07.249   276.160 UDP       114.34.76.61:1900  ->
>>> xxx.xxx.xxx.xxx:2000       88    27826    15
>>> 2014-11-25 10:03:07.989   276.740 UDP    184.167.247.185:1900  ->
>>> xxx.xxx.xxx.xxx:2000       81    26805    15
>>> 2014-11-25 10:03:07.969   276.421 UDP      113.1.106.181:1900  ->
>>> xxx.xxx.xxx.xxx:2000      169    54636    15
>>> 2014-11-25 10:03:09.729   277.600 UDP     184.166.101.67:1900  ->
>>> xxx.xxx.xxx.xxx:2000      103    34185    15
>>> 2014-11-25 10:03:14.019   279.860 UDP       1.183.226.19:1900  ->
>>> xxx.xxx.xxx.xxx:2000      185    60008    15
>>> 2014-11-25 10:03:13.669   279.550 UDP      222.134.3.102:1900  ->
>>> xxx.xxx.xxx.xxx:2000      219    70800    15
>>> 2014-11-25 10:03:16.789   281.301 UDP       112.69.22.86:1900  ->
>>> xxx.xxx.xxx.xxx:2000      115    38836    15
>>> 2014-11-25 10:03:07.100   276.090 UDP    112.160.137.133:1900  ->
>>> xxx.xxx.xxx.xxx:2000       93    28688    15
>>> 2014-11-25 10:03:07.879   276.551 UDP     112.186.151.94:1900  ->
>>> xxx.xxx.xxx.xxx:2000      120    37564    15
>>> 2014-11-25 10:03:14.009   279.990 UDP      75.80.131.195:1900  ->
>>> xxx.xxx.xxx.xxx:2000      127    41906    15
>>> 2014-11-25 10:03:09.249   277.270 UDP     114.27.201.148:1900  ->
>>> xxx.xxx.xxx.xxx:2000      107    35229    15
>>> 2014-11-25 10:03:07.749   276.340 UDP      39.73.170.137:1900  ->
>>> xxx.xxx.xxx.xxx:2000      277    89394    15
>>> 2014-11-25 10:03:07.450   276.399 UDP     111.182.66.144:1900  ->
>>> xxx.xxx.xxx.xxx:2000      271    87978    15
>>> 2014-11-25 10:03:09.129   274.620 UDP      75.185.209.71:1900  ->
>>> xxx.xxx.xxx.xxx:2000      207    60700    15
>>> 2014-11-25 10:03:20.300   283.109 UDP      74.195.63.180:1900  ->
>>> xxx.xxx.xxx.xxx:2000       100   31152    15
>>> 2014-11-25 10:03:13.550   279.639 UDP      222.105.31.50:1900  ->
>>> xxx.xxx.xxx.xxx:2000       95    29618    15
>>> 2014-11-25 10:03:20.649   283.220 UDP    112.152.209.172:1900  ->
>>> xxx.xxx.xxx.xxx:2000      101    31849    15
>>> 2014-11-25 10:03:20.230   282.940 UDP     112.243.145.48:1900  ->
>>> xxx.xxx.xxx.xxx:2000      201    65212    15
>>> 2014-11-25 10:03:20.260   283.159 UDP      184.66.111.75:1900  ->
>>> xxx.xxx.xxx.xxx:2000      108    34862    15
>>> 2014-11-25 10:03:09.529   277.530 UDP     221.248.31.125:1900  ->
>>> xxx.xxx.xxx.xxx:2000      199    73765    15
>>> 2014-11-25 10:03:07.480   276.309 UDP        1.223.31.51:1900  ->
>>> xxx.xxx.xxx.xxx:2000      112    35058    15
>>> 2014-11-25 10:03:09.699   277.711 UDP       76.75.95.192:1900  ->
>>> xxx.xxx.xxx.xxx:2000       134   39338    15
>>> 2014-11-25 10:03:07.549   276.310 UDP     222.185.239.29:1900  ->
>>> xxx.xxx.xxx.xxx:2000      166    54678    15
>>> 2014-11-25 10:03:16.899   281.360 UDP      222.118.2.251:1900  ->
>>> xxx.xxx.xxx.xxx:2000       111    34696   15
>>> 2014-11-25 10:03:16.779   281.301 UDP     112.187.84.122:1900  ->
>>> xxx.xxx.xxx.xxx:2000       87    26926    15
>>> 2014-11-25 10:03:16.089   280.741 UDP    220.207.185.155:1900  ->
>>> xxx.xxx.xxx.xxx:2000      210    68020    15
>>> 2014-11-25 10:03:15.959   281.030 UDP        74.77.41.87:1900  ->
>>> xxx.xxx.xxx.xxx:2000      104    34108    15
>>> 2014-11-25 10:03:20.079   283.000 UDP        74.64.73.54:1900  ->
>>> xxx.xxx.xxx.xxx:2000      151    49789    15
>>> 2014-11-25 10:03:19.579   282.640 UDP    221.174.188.111:1900  ->
>>> xxx.xxx.xxx.xxx:2000      215    69674    15
>>> 2014-11-25 10:03:14.059   279.890 UDP       113.27.66.74:1900  ->
>>> xxx.xxx.xxx.xxx:2000      262    84644    15
>>> 2014-11-25 10:03:09.149   276.660 UDP    222.101.121.147:1900  ->
>>> xxx.xxx.xxx.xxx:2000      166    54316    15
>>> 2014-11-25 10:03:09.439   277.420 UDP     184.90.133.234:1900  ->
>>> xxx.xxx.xxx.xxx:2000       93    29739    15
>>> 2014-11-25 10:03:19.021   282.498 UDP      184.57.83.104:1900  ->
>>> xxx.xxx.xxx.xxx:2000       99    32773    15
>>> 2014-11-25 10:03:19.109   282.410 UDP      113.25.81.160:1900  ->
>>> xxx.xxx.xxx.xxx:2000      223    72362    15
>>> 2014-11-25 10:03:09.590   277.380 UDP      223.18.108.39:1900  ->
>>> xxx.xxx.xxx.xxx:2000       139    41173   15
>>> 2014-11-25 10:03:20.029   282.771 UDP      110.231.7.183:1900  ->
>>> xxx.xxx.xxx.xxx:2000      206    66716    15
>>> 2014-11-25 10:03:17.179   278.721 UDP      76.108.104.99:1900  ->
>>> xxx.xxx.xxx.xxx:2000      114    34265    15
>>> 2014-11-25 10:03:20.029   282.990 UDP      75.109.47.136:1900  ->
>>> xxx.xxx.xxx.xxx:2000      133    36643    15
>>> 2014-11-25 10:03:20.029   282.741 UDP        39.72.68.54:1900  ->
>>> xxx.xxx.xxx.xxx:2000      211    68156    15
>>> 2014-11-25 10:03:09.149   277.070 UDP      183.230.30.92:1900  ->
>>> xxx.xxx.xxx.xxx:2000      190    61352    15
>>> 2014-11-25 10:03:19.119   282.370 UDP    183.140.239.116:1900  ->
>>> xxx.xxx.xxx.xxx:2000      187    60888    15
>>> 2014-11-25 10:03:07.589   276.391 UDP      1.202.113.123:1900  ->
>>> xxx.xxx.xxx.xxx:2000      171    55324    15
>>> 2014-11-25 10:03:06.879   275.730 UDP    112.229.175.109:1900  ->
>>> xxx.xxx.xxx.xxx:2000      201    65166    15
>>> 2014-11-25 10:03:20.079   282.920 UDP     114.34.109.251:1900  ->
>>> xxx.xxx.xxx.xxx:2000       74    23504    15
>>> 2014-11-25 10:03:19.909   282.851 UDP       1.193.202.64:1900  ->
>>> xxx.xxx.xxx.xxx:2000      218    70844    15
>>> 2014-11-25 10:03:20.309   283.240 UDP     75.110.105.222:1900  ->
>>> xxx.xxx.xxx.xxx:2000       95    31471    15
>>> 2014-11-25 10:03:08.879   277.191 UDP       75.87.82.176:1900  ->
>>> xxx.xxx.xxx.xxx:2000      132    43168    15
>>> 2014-11-25 10:03:14.039   279.900 UDP        1.183.8.200:1900  ->
>>> xxx.xxx.xxx.xxx:2000      260    84158    15
>>> 2014-11-25 10:03:08.760   276.910 UDP      111.193.48.82:1900  ->
>>> xxx.xxx.xxx.xxx:2000      214    69406    15
>>> 2014-11-25 10:03:16.089   280.850 UDP     111.194.69.134:1900  ->
>>> xxx.xxx.xxx.xxx:2000      204    65910    15
>>> 2014-11-25 10:03:20.179   282.870 UDP      221.7.177.103:1900  ->
>>> xxx.xxx.xxx.xxx:2000      108    36103    15
>>> 2014-11-25 10:03:07.709   276.310 UDP        39.80.8.244:1900  ->
>>> xxx.xxx.xxx.xxx:2000      200    64728    15
>>> 2014-11-25 10:03:08.599   277.020 UDP         74.138.7.2:1900  ->
>>> xxx.xxx.xxx.xxx:2000      100    32750    15
>>> 2014-11-25 10:03:07.050   276.079 UDP     220.132.77.214:1900  ->
>>> xxx.xxx.xxx.xxx:2000      212    69950    15
>>> 2014-11-25 10:03:14.069   279.751 UDP    110.231.154.249:1900  ->
>>> xxx.xxx.xxx.xxx:2000      183    59508    15
>>> 2014-11-25 10:03:06.979   275.812 UDP    221.207.203.210:1900  ->
>>> xxx.xxx.xxx.xxx:2000      222    71824    15
>>> 2014-11-25 10:03:07.930   276.749 UDP     111.222.26.200:1900  ->
>>> xxx.xxx.xxx.xxx:2000      207    66400    15
>>> 2014-11-25 10:03:08.709   277.080 UDP     184.56.135.108:1900  ->
>>> xxx.xxx.xxx.xxx:2000      127    41725    15
>>> 2014-11-25 10:03:19.759   282.670 UDP       39.76.123.60:1900  ->
>>> xxx.xxx.xxx.xxx:2000      199    64286    15
>>> 2014-11-25 10:03:08.499   276.771 UDP     221.206.165.14:1900  ->
>>> xxx.xxx.xxx.xxx:2000      187    60624    15
>>> 2014-11-25 10:03:16.499   281.040 UDP       110.245.0.96:1900  ->
>>> xxx.xxx.xxx.xxx:2000      256    82798    15
>>> 2014-11-25 10:03:13.900   279.409 UDP     222.248.135.26:1900  ->
>>> xxx.xxx.xxx.xxx:2000       189   61124    15
>>> 2014-11-25 10:03:16.819   281.311 UDP     112.223.130.68:1900  ->
>>> xxx.xxx.xxx.xxx:2000       89    28354    15
>>> 2014-11-25 10:03:16.549   281.070 UDP     110.230.96.101:1900  ->
>>> xxx.xxx.xxx.xxx:2000      177    57584    15
>>> 2014-11-25 10:03:19.989   282.870 UDP     114.38.245.251:1900  ->
>>> xxx.xxx.xxx.xxx:2000       87    27432    15
>>> 2014-11-25 10:03:09.299   277.410 UDP       76.65.100.93:1900  ->
>>> xxx.xxx.xxx.xxx:2000       80    26582    15
>>> 2014-11-25 10:03:07.040   276.179 UDP    222.216.152.249:1900  ->
>>> xxx.xxx.xxx.xxx:2000       91    28696    15
>>> 2014-11-25 10:03:20.280   282.999 UDP     222.42.191.141:1900  ->
>>> xxx.xxx.xxx.xxx:2000      178    57338    15
>>> 2014-11-25 10:03:07.189   276.260 UDP        76.84.57.22:1900  ->
>>> xxx.xxx.xxx.xxx:2000        94   31208    15
>>> 2014-11-25 10:03:07.149   276.000 UDP       113.1.43.167:1900  ->
>>> xxx.xxx.xxx.xxx:2000      190    61910    15
>>> 2014-11-25 10:03:07.910   276.460 UDP     76.121.217.129:1900  ->
>>> xxx.xxx.xxx.xxx:2000       114    38148   15
>>> 2014-11-25 10:03:07.339   276.080 UDP     112.231.140.64:1900  ->
>>> xxx.xxx.xxx.xxx:2000      209    67816    15
>>> 2014-11-25 10:03:08.609   276.470 UDP      75.111.43.100:1900  ->
>>> xxx.xxx.xxx.xxx:2000      107    31644    15
>>> 2014-11-25 10:03:08.119   276.590 UDP     112.226.42.121:1900  ->
>>> xxx.xxx.xxx.xxx:2000      187    60394    15
>>> 2014-11-25 10:03:08.559   277.040 UDP      75.109.220.77:1900  ->
>>> xxx.xxx.xxx.xxx:2000       98    31856    15
>>> 2014-11-25 10:03:16.129   281.030 UDP       185.42.39.54:1900  ->
>>> xxx.xxx.xxx.xxx:2000       81    25324    15
>>> 2014-11-25 10:03:20.399   283.161 UDP      184.59.238.15:1900  ->
>>> xxx.xxx.xxx.xxx:2000      122    39864    15
>>> 2014-11-25 10:03:20.649   283.120 UDP       39.71.133.31:1900  ->
>>> xxx.xxx.xxx.xxx:2000      212    68918    15
>>> 2014-11-25 10:03:18.349   279.291 UDP       74.194.84.25:1900  ->
>>> xxx.xxx.xxx.xxx:2000      155    43958    15
>>> 2014-11-25 10:03:10.460   277.840 UDP      112.229.91.50:1900  ->
>>> xxx.xxx.xxx.xxx:2000      185    59624    15
>>> 2014-11-25 10:03:07.749   276.470 UDP    220.135.183.224:1900  ->
>>> xxx.xxx.xxx.xxx:2000       87    26928    15
>>> 2014-11-25 10:03:20.260   282.900 UDP    110.205.193.235:1900  ->
>>> xxx.xxx.xxx.xxx:2000       67    21616    15
>>> 2014-11-25 10:03:09.079   277.090 UDP     112.109.208.62:1900  ->
>>> xxx.xxx.xxx.xxx:2000      196    64190    15
>>> 2014-11-25 10:03:07.470   276.199 UDP    221.162.190.166:1900  ->
>>> xxx.xxx.xxx.xxx:2000       83    25654    15
>>> 2014-11-25 10:03:09.069   277.300 UDP      75.108.19.236:1900  ->
>>> xxx.xxx.xxx.xxx:2000       85    26891    15
>>> 2014-11-25 10:03:16.549   281.501 UDP      112.68.192.83:1900  ->
>>> xxx.xxx.xxx.xxx:2000      114    38754    15
>>> 2014-11-25 10:03:13.520   279.689 UDP     76.170.190.166:1900  ->
>>> xxx.xxx.xxx.xxx:2000      130    42928    15
>>> 2014-11-25 10:03:08.290   276.789 UDP       223.8.148.60:1900  ->
>>> xxx.xxx.xxx.xxx:2000      200    65182    15
>>> 2014-11-25 10:03:20.429   283.120 UDP     110.182.157.26:1900  ->
>>> xxx.xxx.xxx.xxx:2000      222    72046    15
>>> 2014-11-25 10:03:14.309   279.890 UDP    112.194.175.126:1900  ->
>>> xxx.xxx.xxx.xxx:2000      180    58600    15
>>> 2014-11-25 10:03:08.389   276.660 UDP     221.180.46.143:1900  ->
>>> xxx.xxx.xxx.xxx:2000      183    59348    15
>>> 2014-11-25 10:03:09.849   278.990 UDP       186.188.12.7:1900  ->
>>> xxx.xxx.xxx.xxx:2000       85    27625    15
>>> 2014-11-25 10:03:20.449   283.050 UDP     112.232.106.45:1900  ->
>>> xxx.xxx.xxx.xxx:2000      185    59968    15
>>> 2014-11-25 10:03:07.289   276.200 UDP       1.198.97.217:1900  ->
>>> xxx.xxx.xxx.xxx:2000      232    74770    15
>>> 2014-11-25 10:03:08.059   276.660 UDP     112.70.237.232:1900  ->
>>> xxx.xxx.xxx.xxx:2000       98    30554    15
>>> 2014-11-25 10:03:15.939   280.851 UDP       1.209.43.228:1900  ->
>>> xxx.xxx.xxx.xxx:2000      112    34822    15
>>> 2014-11-25 10:03:08.189   276.540 UDP       39.83.112.25:1900  ->
>>> xxx.xxx.xxx.xxx:2000      199    64188    15
>>> 2014-11-25 10:03:19.549   282.680 UDP     112.162.23.134:1900  ->
>>> xxx.xxx.xxx.xxx:2000        96   29802    15
>>> 2014-11-25 10:03:15.339   282.630 UDP      77.20.226.136:1900  ->
>>> xxx.xxx.xxx.xxx:2000      144    42204    15
>>> 2014-11-25 10:03:19.949   282.700 UDP       221.3.28.180:1900  ->
>>> xxx.xxx.xxx.xxx:2000      243    78774    15
>>> 2014-11-25 10:03:17.089   281.361 UDP        113.1.32.54:1900  ->
>>> xxx.xxx.xxx.xxx:2000      193    62012    15
>>> 2014-11-25 10:03:19.629   282.780 UDP       76.180.102.0:1900  ->
>>> xxx.xxx.xxx.xxx:2000       91    30041    15
>>> 2014-11-25 10:03:07.569   276.330 UDP     221.229.151.27:1900  ->
>>> xxx.xxx.xxx.xxx:2000      186    61344    15
>>> 2014-11-25 10:03:20.759   283.250 UDP     112.214.34.172:1900  ->
>>> xxx.xxx.xxx.xxx:2000       97    30818    15
>>> 2014-11-25 10:03:08.479   276.950 UDP      2.104.142.249:1900  ->
>>> xxx.xxx.xxx.xxx:2000       177   51459    15
>>> 2014-11-25 10:03:07.430   276.299 UDP     221.126.51.133:1900  ->
>>> xxx.xxx.xxx.xxx:2000      125    41223    15
>>> 2014-11-25 10:03:20.509   283.160 UDP    221.121.181.237:1900  ->
>>> xxx.xxx.xxx.xxx:2000       128    43135   15
>>> 2014-11-25 10:03:09.069   277.100 UDP       1.190.78.141:1900  ->
>>> xxx.xxx.xxx.xxx:2000      214    69342    15
>>> 2014-11-25 10:03:08.979   277.040 UDP       220.237.1.29:1900  ->
>>> xxx.xxx.xxx.xxx:2000      120    39562    15
>>> 2014-11-25 10:03:07.480   276.269 UDP       113.122.61.2:1900  ->
>>> xxx.xxx.xxx.xxx:2000      164    53332    15
>>> 2014-11-25 10:03:15.869   280.790 UDP    111.225.221.211:1900  ->
>>> xxx.xxx.xxx.xxx:2000      214    68782    15
>>> 2014-11-25 10:03:08.089   276.690 UDP    111.227.203.249:1900  ->
>>> xxx.xxx.xxx.xxx:2000      237    76822    15
>>> 2014-11-25 10:03:09.309   277.291 UDP     76.178.161.150:1900  ->
>>> xxx.xxx.xxx.xxx:2000      104    33958    15
>>> 2014-11-25 10:03:21.289   282.660 UDP     74.197.125.199:1900  ->
>>> xxx.xxx.xxx.xxx:2000      103    30770    15
>>> 2014-11-25 10:03:07.529   276.420 UDP        75.82.13.27:1900  ->
>>> xxx.xxx.xxx.xxx:2000      139    45367    15
>>> 2014-11-25 10:03:20.230   283.009 UDP       222.82.60.62:1900  ->
>>> xxx.xxx.xxx.xxx:2000      218    70460    15
>>> 2014-11-25 10:03:07.930   276.520 UDP       111.151.76.7:1900  ->
>>> xxx.xxx.xxx.xxx:2000      228    74158    15
>>> 2014-11-25 10:03:19.569   282.610 UDP      39.187.95.132:1900  ->
>>> xxx.xxx.xxx.xxx:2000      189    60508    15
>>> 2014-11-25 10:03:13.229   279.470 UDP     111.170.197.54:1900  ->
>>> xxx.xxx.xxx.xxx:2000      174    56496    15
>>> 2014-11-25 10:03:19.669   282.810 UDP      74.193.226.91:1900  ->
>>> xxx.xxx.xxx.xxx:2000      118    38956    15
>>> 2014-11-25 10:03:13.359   279.580 UDP      74.228.220.52:1900  ->
>>> xxx.xxx.xxx.xxx:2000      103    34253    15
>>> 2014-11-25 10:03:14.270   279.979 UDP      222.120.54.86:1900  ->
>>> xxx.xxx.xxx.xxx:2000       85    26583    15
>>> 2014-11-25 10:03:08.859   276.960 UDP      112.91.246.94:1900  ->
>>> xxx.xxx.xxx.xxx:2000      177    57620    15
>>> 2014-11-25 10:03:16.259   280.911 UDP     112.159.126.16:1900  ->
>>> xxx.xxx.xxx.xxx:2000      183    59382    15
>>> 2014-11-25 10:03:16.010   280.879 UDP    113.122.107.235:1900  ->
>>> xxx.xxx.xxx.xxx:2000      168    54558    15
>>> 2014-11-25 10:03:08.679   276.930 UDP     183.138.233.72:1900  ->
>>> xxx.xxx.xxx.xxx:2000      216    70108    15
>>> 2014-11-25 10:03:19.729   282.630 UDP    112.241.238.179:1900  ->
>>> xxx.xxx.xxx.xxx:2000      173    55994    15
>>> 2014-11-25 10:03:13.799   279.640 UDP       39.68.105.45:1900  ->
>>> xxx.xxx.xxx.xxx:2000      187    60310    15
>>> 2014-11-25 10:03:16.020   280.959 UDP      76.182.146.53:1900  ->
>>> xxx.xxx.xxx.xxx:2000      101    33441    15
>>> 2014-11-25 10:03:16.129   280.850 UDP     112.242.77.241:1900  ->
>>> xxx.xxx.xxx.xxx:2000      230    74214    15
>>> 2014-11-25 10:03:20.079   282.960 UDP    184.153.176.134:1900  ->
>>> xxx.xxx.xxx.xxx:2000      116    38230    15
>>> 2014-11-25 10:03:19.649   282.710 UDP       184.56.63.88:1900  ->
>>> xxx.xxx.xxx.xxx:2000      101    33069    15
>>> 2014-11-25 10:03:20.399   283.070 UDP      222.105.74.26:1900  ->
>>> xxx.xxx.xxx.xxx:2000      211    68755    15
>>> 2014-11-25 10:03:20.399   283.171 UDP    184.164.181.219:1900  ->
>>> xxx.xxx.xxx.xxx:2000        95   30243    15
>>> 2014-11-25 10:03:19.569   282.600 UDP    221.220.242.226:1900  ->
>>> xxx.xxx.xxx.xxx:2000      165    53554    15
>>> 2014-11-25 10:03:08.689   276.971 UDP      220.90.49.195:1900  ->
>>> xxx.xxx.xxx.xxx:2000       86    26980    15
>>> 2014-11-25 10:03:20.499   283.251 UDP       77.110.20.63:1900  ->
>>> xxx.xxx.xxx.xxx:2000      106    31210    15
>>> 2014-11-25 10:03:09.049   277.051 UDP     112.248.158.17:1900  ->
>>> xxx.xxx.xxx.xxx:2000      142    46170    15
>>> 2014-11-25 10:03:08.999   276.220 UDP      186.69.42.232:1900  ->
>>> xxx.xxx.xxx.xxx:2000      138    40915    15
>>> 2014-11-25 10:03:16.389   281.360 UDP      76.92.183.240:1900  ->
>>> xxx.xxx.xxx.xxx:2000      112    36730    15
>>> 2014-11-25 10:03:13.840   279.669 UDP    112.248.182.178:1900  ->
>>> xxx.xxx.xxx.xxx:2000      190    61528    15
>>> 2014-11-25 10:03:07.819   276.631 UDP     74.194.102.101:1900  ->
>>> xxx.xxx.xxx.xxx:2000      121    39921    15
>>> 2014-11-25 10:03:05.149   277.680 UDP    220.210.128.131:1900  ->
>>> xxx.xxx.xxx.xxx:2000       126   42428    15
>>> 2014-11-25 10:03:07.470   276.130 UDP        39.64.41.91:1900  ->
>>> xxx.xxx.xxx.xxx:2000      235    76180    15
>>> 2014-11-25 10:03:06.989   276.020 UDP      222.105.7.232:1900  ->
>>> xxx.xxx.xxx.xxx:2000      116    36104    15
>>> 2014-11-25 10:03:07.139   275.951 UDP      113.9.142.172:1900  ->
>>> xxx.xxx.xxx.xxx:2000      192    62478    15
>>> 2014-11-25 10:03:19.899   283.120 UDP     113.75.181.143:1900  ->
>>> xxx.xxx.xxx.xxx:2000      170    55676    15
>>> 2014-11-25 10:03:07.969   276.640 UDP       75.81.195.75:1900  ->
>>> xxx.xxx.xxx.xxx:2000       94    30728    15
>>> 2014-11-25 10:03:09.170   277.229 UDP       111.1.77.108:1900  ->
>>> xxx.xxx.xxx.xxx:2000      179    57936    15
>>> 2014-11-25 10:03:16.879   281.281 UDP      220.248.188.7:1900  ->
>>> xxx.xxx.xxx.xxx:2000       194   63624    15
>>> 2014-11-25 10:03:15.379   281.690 UDP      75.109.212.72:1900  ->
>>> xxx.xxx.xxx.xxx:2000      140    39772    15
>>> 2014-11-25 10:03:13.399   279.600 UDP      76.181.16.176:1900  ->
>>> xxx.xxx.xxx.xxx:2000       127    41965   15
>>> 2014-11-25 10:03:20.349   283.610 UDP     222.179.55.155:1900  ->
>>> xxx.xxx.xxx.xxx:2000      265    87546    15
>>> 2014-11-25 10:03:13.649   279.701 UDP     76.185.100.109:1900  ->
>>> xxx.xxx.xxx.xxx:2000       90    28714    15
>>> 2014-11-25 10:03:08.340   276.909 UDP      75.183.86.213:1900  ->
>>> xxx.xxx.xxx.xxx:2000      134    43056    15
>>> 2014-11-25 10:03:09.159   277.230 UDP      222.178.8.193:1900  ->
>>> xxx.xxx.xxx.xxx:2000      195    64044    15
>>> 2014-11-25 10:03:07.519   276.220 UDP     110.243.128.66:1900  ->
>>> xxx.xxx.xxx.xxx:2000      218    70340    15
>>> Summary: total flows: 1210620, total bytes: 3629034438, total packets:
>>> 11495709, avg bps: 14252467, avg pps: 5643, avg bpp: 315
>>> Time window: 2014-11-25 09:34:09 - 2014-11-25 10:08:06
>>> Total flows processed: 1210620, Blocks skipped: 0, Bytes read: 67795608
>>> Sys: 0.584s flows/second: 2072855.2 Wall: 0.590s flows/second: 2051317.7
>>> 
>>> Rodrigo Augusto
>>> Gestor de T.I. Grupo Connectoway
>>> http://www.connectoway.com.br <http://www.connectoway.com.br/>
>>> http://www.1telecom.com.br <http://www.1telecom.com.br/>
>>> * rodrigo at connectoway.com.br <mailto:rodrigo at connectoway.com.br>
>>> ( (81) 3497-6060
>>> ( (81) 8184-3646
>>> ( INOC-DBA 52965*100
>>> 
>>> 
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
>> --
>> Patrick Tracanelli
>> 
>> FreeBSD Brasil LTDA.
>> Tel.: (31) 3516-0800
>> 316601 at sip.freebsdbrasil.com.br
>> http://www.freebsdbrasil.com.br
>> "Long live Hanin Elias, Kim Deal!"
>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"




More information about the gter mailing list