[GTER] Ataque, desconhecido Será ?
Ricardo Rodrigues
rcr.listas at ig.com.br
Wed Dec 17 08:20:48 -02 2014
Não exatamente, pode ser um ataque de amplificação com UDP spoofado onde
eles sejam as vítimas.
Está consumindo 200 Mbps de entrada ou de saída? Verifique se você não tem
DNS recursivos abertos. Com apenas 30k QPS (consultas DNS por segundo) é
possível gerar mais de 980 Mbps de tráfego de rede.
Abs,
Ricardo
Em 16 de dezembro de 2014 21:01, Fabio F. <smsfabio at gmail.com> escreveu:
>
> Boa noite amigo,
>
> hoje observei um tráfego estranho na rede de um ip internacional consumindo
> mais 200Mbps.
> bom verificando observei que o mesmo esta atacando os servidores de Dns, a
> maioria deles não é recursivo.
>
> Log:
>
> 20:57:45.576073 IP 190.115.24.86.7626 > 177.xx.xx.117.53: 10809+ [1au] ANY?
> isc.org. (36)
> 20:57:45.576568 IP 190.115.24.86.39039 > 177.xxxx.20.53: 10809+ [1au] ANY?
> isc.org. (36)
> 20:57:45.576826 IP 190.115.24.86.22663 > 177.xxxx.64.53: 10809+ [1au] ANY?
> isc.org. (36)
> 20:57:45.578074 IP 190.115.24.86.31285 > 177.xxxx.10.53: 10809+ [1au] ANY?
> isc.org. (36)
> 20:57:45.578448 IP 190.115.24.86.8825 > 177.xx.xx.78.53: 10809+ [1au] ANY?
> isc.org. (36)
> 20:57:45.579191 IP 190.115.24.86.15445 > 177.xx.xxx.170.53: 10809+ [1au]
> ANY? isc.org. (36)
> ......
> ...... tem por volta de uns 80 servidores de dns diferentes.
>
>
> bom até ai nada de muito anormal,
> porem fui verificar de quem é esse IP: 190.115.24.86
> e constatei que pertence ao AS: http://bgp.he.net/AS262254 que é da
> https://ddos-guard.net/ um empresa de proteção DDoS.
>
> Eis a duvida:
>
> Estão tentando forçar a aquisição dos serviços ?
> Nunca entrei em contato eles.
>
> Estão desviando algum tráfego para que outros servidores respondam as
> requisições ?
>
> o que acham ?
>
> --
> Atenciosamente
> ----------------------------------
> Fabio F. Andrade
> smsfabio at gmail.com
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list