[GTER] Ataque UDP porta de origem 1900
Wilson R Lopes
wilsonlopes00 at gmail.com
Wed Apr 29 17:20:38 -03 2015
https://ssdpscan.shadowserver.org/asn.csv
Para ter uma idéia de ASNs BR com mais de 1 mil ips na lista:
count ips,country code,asn
1157,BR,28281
1340,BR,28202
1513,BR,28668
1676,BR,19182
3227,BR,22689
4089,BR,22085
4091,BR,26615
6390,BR,14868
16012,BR,53006
17292,BR,7738
31999,BR,8167
46089,BR,28573
46216,BR,18881
59768,BR,26599
102147,BR,27699
Em 29 de abril de 2015 17:02, Wilson R Lopes <wilsonlopes00 at gmail.com> escreveu:
> Abuso do SSDP - amplificação no fator de 30x
>
> O projeto abaixo tem o objetivo de mapear hosts com ssdp aberto e
> notificar os owners para remediação.
>
> https://ssdpscan.shadowserver.org/
>
> A situação é crítica - mundo ~ 13.5 milhões de hosts com ssdp aberto.
> Só no Brasil ~ 365k. Grandes provedores de acesso brasileiros -
> Telefonica, Net, GVT, Oi - estão na lista com milhares de ips (pelo
> protocolo, roteadores dos clientes domésticos)
>
>
>
> Esta exploração é recente e saltou muito rápido. A arbor sinaliza no
> serviço do Atlas apenas 3 ataques deste tipo no primeiro quadrimestre
> do ano passado, contra 126k este ano.
>
> www.arbornetworks.com/news-and-events/press-releases/recent-pess-releases/5405-arbor-networks-records-largest-ever-ddos-attack-in-q1-2015-ddos-report
>
>
> Wilson.
>
> Em 28 de abril de 2015 19:10, Renan Montoro <renan.m at msn.com> escreveu:
>> Pessoa, boa noite.
>>
>> Obrigado a todos que responderam, realmente trata-se de um ataque de amplificação SSDP/PNP, o drop de src-port 1900 realmente não durou mto tempo e o tráfego disparou após alguns minutos. Só resolvi solicitando o bloqueio da src-port UDP 1900 para a operadora, porém eles me disseram que após 48 horas o filtro é retirado.
>>
>> Sobre a proteção por parte deles, por coincidência ou não, eles (Algar) me ligaram e falaram sobre a aquisição de um produto deles que faz tal proteção. Isso após alguns ataques em menos de 15 dias e após 2 anos de link com eles e nunca ter tido tal problema.
>>
>> Não vou mentir. Fiquei com um pé atrás. A Vivo tá no meu pé com propostas de valores melhores, a Algar vai acabar perdendo o cliente, pois tenho já tenho link com a Vivo em outra localidade e nunca enfrentei tal problema.
>>
>> Atenciosamente,
>>
>>
>> Renan Alves Montoro
>> MikroTik Certified MTCNA
>> RVNeT - Soluções em Internet
>> www.rvnett.com.br
>>
>>> Date: Tue, 28 Apr 2015 10:23:16 -0300
>>> From: danton.nunes at inexo.com.br
>>> To: gter at eng.registro.br
>>> Subject: Re: [GTER] Ataque UDP porta de origem 1900
>>>
>>> On Mon, 27 Apr 2015, Renan Montoro wrote:
>>>
>>>> Alguém já enfrentou este tipo de ataque? São vários ips de origem de
>>>> vários blocos, protocolo UDP, porém portas de origem 1900. Já aconteceu
>>>> duas vezes comigo, tráfego sobe absurdamente no limite do contratado com
>>>> a operadora, resolvi bloqueando tudo que entra com porta de origem 1900
>>>> UDP.
>>>
>>> e que porta de destino? é algum ataque visando amplificação?
>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list