[GTER] Ataque UDP porta de origem 1900
Jonathan Falcão
jocthbr at gmail.com
Wed Apr 29 22:04:52 -03 2015
Caramba! Depois disso, vou até verificar minha rede!
Em qua, 29 de abr de 2015 17:28, Wilson R Lopes <wilsonlopes00 at gmail.com>
escreveu:
> https://ssdpscan.shadowserver.org/asn.csv
>
> Para ter uma idéia de ASNs BR com mais de 1 mil ips na lista:
>
> count ips,country code,asn
>
> 1157,BR,28281
> 1340,BR,28202
> 1513,BR,28668
> 1676,BR,19182
> 3227,BR,22689
> 4089,BR,22085
> 4091,BR,26615
> 6390,BR,14868
> 16012,BR,53006
> 17292,BR,7738
> 31999,BR,8167
> 46089,BR,28573
> 46216,BR,18881
> 59768,BR,26599
> 102147,BR,27699
>
> Em 29 de abril de 2015 17:02, Wilson R Lopes <wilsonlopes00 at gmail.com>
> escreveu:
> > Abuso do SSDP - amplificação no fator de 30x
> >
> > O projeto abaixo tem o objetivo de mapear hosts com ssdp aberto e
> > notificar os owners para remediação.
> >
> > https://ssdpscan.shadowserver.org/
> >
> > A situação é crítica - mundo ~ 13.5 milhões de hosts com ssdp aberto.
> > Só no Brasil ~ 365k. Grandes provedores de acesso brasileiros -
> > Telefonica, Net, GVT, Oi - estão na lista com milhares de ips (pelo
> > protocolo, roteadores dos clientes domésticos)
> >
> >
> >
> > Esta exploração é recente e saltou muito rápido. A arbor sinaliza no
> > serviço do Atlas apenas 3 ataques deste tipo no primeiro quadrimestre
> > do ano passado, contra 126k este ano.
> >
> >
> www.arbornetworks.com/news-and-events/press-releases/recent-pess-releases/5405-arbor-networks-records-largest-ever-ddos-attack-in-q1-2015-ddos-report
> >
> >
> > Wilson.
> >
> > Em 28 de abril de 2015 19:10, Renan Montoro <renan.m at msn.com> escreveu:
> >> Pessoa, boa noite.
> >>
> >> Obrigado a todos que responderam, realmente trata-se de um ataque de
> amplificação SSDP/PNP, o drop de src-port 1900 realmente não durou mto
> tempo e o tráfego disparou após alguns minutos. Só resolvi solicitando o
> bloqueio da src-port UDP 1900 para a operadora, porém eles me disseram que
> após 48 horas o filtro é retirado.
> >>
> >> Sobre a proteção por parte deles, por coincidência ou não, eles (Algar)
> me ligaram e falaram sobre a aquisição de um produto deles que faz tal
> proteção. Isso após alguns ataques em menos de 15 dias e após 2 anos de
> link com eles e nunca ter tido tal problema.
> >>
> >> Não vou mentir. Fiquei com um pé atrás. A Vivo tá no meu pé com
> propostas de valores melhores, a Algar vai acabar perdendo o cliente, pois
> tenho já tenho link com a Vivo em outra localidade e nunca enfrentei tal
> problema.
> >>
> >> Atenciosamente,
> >>
> >>
> >> Renan Alves Montoro
> >> MikroTik Certified MTCNA
> >> RVNeT - Soluções em Internet
> >> www.rvnett.com.br
> >>
> >>> Date: Tue, 28 Apr 2015 10:23:16 -0300
> >>> From: danton.nunes at inexo.com.br
> >>> To: gter at eng.registro.br
> >>> Subject: Re: [GTER] Ataque UDP porta de origem 1900
> >>>
> >>> On Mon, 27 Apr 2015, Renan Montoro wrote:
> >>>
> >>>> Alguém já enfrentou este tipo de ataque? São vários ips de origem de
> >>>> vários blocos, protocolo UDP, porém portas de origem 1900. Já
> aconteceu
> >>>> duas vezes comigo, tráfego sobe absurdamente no limite do contratado
> com
> >>>> a operadora, resolvi bloqueando tudo que entra com porta de origem
> 1900
> >>>> UDP.
> >>>
> >>> e que porta de destino? é algum ataque visando amplificação?
> >>>
> >>> --
> >>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list