[GTER] Ataque UDP porta de origem 1900
Wilson R Lopes
wilsonlopes00 at gmail.com
Wed Apr 29 17:02:15 -03 2015
Abuso do SSDP - amplificação no fator de 30x
O projeto abaixo tem o objetivo de mapear hosts com ssdp aberto e
notificar os owners para remediação.
https://ssdpscan.shadowserver.org/
A situação é crítica - mundo ~ 13.5 milhões de hosts com ssdp aberto.
Só no Brasil ~ 365k. Grandes provedores de acesso brasileiros -
Telefonica, Net, GVT, Oi - estão na lista com milhares de ips (pelo
protocolo, roteadores dos clientes domésticos)
Esta exploração é recente e saltou muito rápido. A arbor sinaliza no
serviço do Atlas apenas 3 ataques deste tipo no primeiro quadrimestre
do ano passado, contra 126k este ano.
www.arbornetworks.com/news-and-events/press-releases/recent-pess-releases/5405-arbor-networks-records-largest-ever-ddos-attack-in-q1-2015-ddos-report
Wilson.
Em 28 de abril de 2015 19:10, Renan Montoro <renan.m at msn.com> escreveu:
> Pessoa, boa noite.
>
> Obrigado a todos que responderam, realmente trata-se de um ataque de amplificação SSDP/PNP, o drop de src-port 1900 realmente não durou mto tempo e o tráfego disparou após alguns minutos. Só resolvi solicitando o bloqueio da src-port UDP 1900 para a operadora, porém eles me disseram que após 48 horas o filtro é retirado.
>
> Sobre a proteção por parte deles, por coincidência ou não, eles (Algar) me ligaram e falaram sobre a aquisição de um produto deles que faz tal proteção. Isso após alguns ataques em menos de 15 dias e após 2 anos de link com eles e nunca ter tido tal problema.
>
> Não vou mentir. Fiquei com um pé atrás. A Vivo tá no meu pé com propostas de valores melhores, a Algar vai acabar perdendo o cliente, pois tenho já tenho link com a Vivo em outra localidade e nunca enfrentei tal problema.
>
> Atenciosamente,
>
>
> Renan Alves Montoro
> MikroTik Certified MTCNA
> RVNeT - Soluções em Internet
> www.rvnett.com.br
>
>> Date: Tue, 28 Apr 2015 10:23:16 -0300
>> From: danton.nunes at inexo.com.br
>> To: gter at eng.registro.br
>> Subject: Re: [GTER] Ataque UDP porta de origem 1900
>>
>> On Mon, 27 Apr 2015, Renan Montoro wrote:
>>
>>> Alguém já enfrentou este tipo de ataque? São vários ips de origem de
>>> vários blocos, protocolo UDP, porém portas de origem 1900. Já aconteceu
>>> duas vezes comigo, tráfego sobe absurdamente no limite do contratado com
>>> a operadora, resolvi bloqueando tudo que entra com porta de origem 1900
>>> UDP.
>>
>> e que porta de destino? é algum ataque visando amplificação?
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list