[GTER] Ataque DDOS

Roberto Bertó roberto.berto at gmail.com
Sun Oct 11 13:36:59 -03 2015


essa ferramenta aqui testa se estamos com os filtros de saida ok
http://spoofer.caida.org (apenas lembro que rode em alguma vm nao em em
server de producao)

deveriamos é criar uma forca tarefa, com os ASN brasileiros e marcar quais
ja implementaram as recomendacoes, e corrermos atras daqueles que nao
aderiram. Abranet e CG pode ajudar no projero

um trabalho assim seria longo mas cada hora trabalhada nisso pelos
voltuntarios seria horas de trabalho a menos para todos no futuro em
operacoes de seguranca

muitos ja tem implementado essas protecoes hoje, cada AS que aderir as
recomendacoes é um atacante a menos em potencial


Em sábado, 10 de outubro de 2015, Eduardo Schoedler <listas at esds.com.br>
escreveu:

> Porque não começamos TODOS a usar o projeto UTRS?
>
> --
> Eduardo Schoedler
>
>
> Em sábado, 10 de outubro de 2015, Douglas Fischer <
> fischerdouglas at gmail.com <javascript:;>>
> escreveu:
>
> > Na hora de negociar o próximo link,
> > nem comece antes de explicitar a necessidade de communities.
> > BlackHole, No-Export e por aí vai...
> >
> > Em 10 de outubro de 2015 09:20, Glauber Derlland <glauber at vescnet.com.br
> <javascript:;>
> > <javascript:;>>
> > escreveu:
> >
> > > vamos migrar a proposta (anti-ddos) foi simplesmente outro valor do
> > link...
> > >
> > > Em 10 de outubro de 2015 08:58, Rodrigo Pedrosa <
> > rodrigopa.uepb at gmail.com <javascript:;> <javascript:;>>
> > > escreveu:
> > >
> > > > Tenho um circuito de 3Gbps com a Tim e já tive o mesmo problema. Sem
> > > > community e querendo vender esse serviço.
> > > > Consegui resolver porque tenho outros upstreams.
> > > > Att., Rodrigo Pedrosa
> > > >
> > > > Em quarta-feira, 7 de outubro de 2015, Glauber Derlland <
> > > > glauber at vescnet.com.br <javascript:;> <javascript:;>> escreveu:
> > > >
> > > > > o problema agora é a operadora liberar...
> > > > >
> > > > > Em 7 de outubro de 2015 15:28, Diego Santos <
> diego at primehost.com.br <javascript:;>
> > <javascript:;>
> > > > > <javascript:;>>
> > > > > escreveu:
> > > > >
> > > > > > Glauber,
> > > > > >
> > > > > > Eu sei do que você está falando e parece ser uma briga
> > interminável.
> > > > > >
> > > > > > Encontrei esta informação em algumas threads antigas e guardei
> > > comigo.
> > > > > Não
> > > > > > sei estão funcionais.
> > > > > >
> > > > > > Veja se te ajuda em alguma coisa ...
> > > > > >
> > > > > > 26615:40 LOWEST PREFERENCE
> > > > > > 26615:80 PEERING LOCAL PREFERENCE
> > > > > > 26615:50 UPSTREAM LOCAL PREFERENCE
> > > > > > 26615:401 NO EXPORT ALL TRANSIT
> > > > > > 26615:402 NO EXPORT ALL PEERING
> > > > > > 26615:403 NO EXPORT ALL UPSTREAM
> > > > > > 26615:428 NO EXPORT Google
> > > > > > 26615:429 NO EXPORT Globo.com
> > > > > > 17379:23004 NO EXPORT INTERNACIONAL
> > > > > > 17379:23005 NO EXPORT NACIONAL
> > > > > > 17379:23015 NO EXPORT only on OI
> > > > > > 17379:23025 NO EXPORT only on UOL
> > > > > > 17379:23035 NO EXPORT only on RNP
> > > > > > 17379:23045 NO EXPORT only on TERRA
> > > > > > 17379:23055 NO EXPORT only on Embratel
> > > > > > 17379:23065 NO EXPORT only on BrT
> > > > > > 17379:23085 NO EXPORT only on Telefônica
> > > > > > 17379:23095 NO EXPORT only on DIVEO
> > > > > > No-export This is a well-know community
> > > > > > 26615:66 BLACK HOLE
> > > > > >
> > > > > >
> > > > > >
> > > > > > Diego Santos
> > > > > >
> > > > > >
> > > > > > Em [DATE], "[NAME]" <[ADDRESS]> escreveu:
> > > > > >
> > > > > > >estou com luta com a TIM, para liberação das communities
> > blackhole.
> > > > > > >
> > > > > > >Em 7 de outubro de 2015 11:42, Elizandro Pacheco [ Pacheco
> > > Tecnologia
> > > > ]
> > > > > <
> > > > > > >elizandro at pachecotecnologia.net <javascript:;> <javascript:;>
> <javascript:;>>
> > escreveu:
> > > > > > >
> > > > > > >>
> > > > > > >> > Em 6 de out de 2015, à(s) 11:50, Glauber Derlland <
> > > > > > >> glauber at vescnet.com.br <javascript:;> <javascript:;>
> <javascript:;>> escreveu:
> > > > > > >> >
> > > > > > >> > sim o blackhole é a solução para isso mais a operadora TIM,
> > não
> > > > tem
> > > > > > >> > communities (estranho) querem vende  Anti-DDOS
> > > > > > >>
> > > > > > >> Essa é a jogada.
> > > > > > >>
> > > > > > >> Se o tráfego chegou a você, você só fica em pé se tiver mais
> > > > > capacidade
> > > > > > >> que o atacante. Seja em hardware ou banda.
> > > > > > >>
> > > > > > >> Um cenário de um software que responde a um ataque fazendo
> seja
> > lá
> > > > > qual
> > > > > > >> tipo de bloqueio que for, só será útil se você tiver muito
> mais
> > > > > > capacidade
> > > > > > >> que ele. E isso explica o porque da maioria das empresas que
> > > > fornecem
> > > > > > esse
> > > > > > >> serviço estarem “lá fora”.
> > > > > > >>
> > > > > > >> O método mais eficiente, sempre vai ser fazer com que esse
> > tráfego
> > > > não
> > > > > > >> chegue até você.
> > > > > > >>
> > > > > > >> Algumas operadoras vendem o serviço, outras ( como já tive
> caso
> > ),
> > > > > > apenas
> > > > > > >> se negam a fazer dizendo que se filtrar na “frente”
> > comprometeria
> > > o
> > > > > > >> hardware deles. ( A GVT já me fez isso ).
> > > > > > >>
> > > > > > >>
> > > > > > >> Elizandro Pacheco
> > > > > > >> Pacheco Tecnologia
> > > > > > >>
> > > > > > >>
> > > > > > >> >
> > > > > > >> > Em 6 de outubro de 2015 08:18, Antonio Modesto <
> > > > > > modesto at isimples.com.br <javascript:;> <javascript:;>
> <javascript:;>>
> > > > > > >> > escreveu:
> > > > > > >> >
> > > > > > >> >>
> > > > > > >> >>
> > > > > > >> >> On 10/05/15 15:00, Rodrigo Meireles wrote:
> > > > > > >> >>
> > > > > > >> >>> 1.0 - HUGE Networks.
> > > > > > >> >>> 2.0 - Dependendo do que esteja utilizando na borda podemos
> > > > > > implementar
> > > > > > >> >>> ferramentas anti-DDOS no Vyos, FreeBsd ou Edge.
> > > > > > >> >>>
> > > > > > >> >>
> > > > > > >> >> Qual seria o tipo de técnica que você iria implantar no seu
> > > > > roteador
> > > > > > de
> > > > > > >> >> borda? Sendo que o tráfego já chegou nele, sua banda já
> > estará
> > > > > sendo
> > > > > > >> >> consumida no momento que você tiver a oportunidade de
> > filtrar.
> > > > > Ainda
> > > > > > >> mais
> > > > > > >> >> que geralmente esses tipos de ataque utilizam UDP. A única
> > > > solução
> > > > > > >> viável
> > > > > > >> >> que vejo é o blackhole na operadora.
> > > > > > >> >>
> > > > > > >> >>>
> > > > > > >> >>>
> > > > > > >> >>> Em 5 de outubro de 2015 14:54, Rubens Kuhl <
> > rubensk at gmail.com <javascript:;> <javascript:;>
> > > > > <javascript:;>>
> > > > > > >> escreveu:
> > > > > > >> >>>
> > > > > > >> >>> 2015-10-05 13:25 GMT-03:00 Glauber Derlland <
> > > > > glauber at vescnet.com.br <javascript:;> <javascript:;>
> <javascript:;>
> > > > > > >:
> > > > > > >> >>>>
> > > > > > >> >>>> Operadora é a TIM. Tambem não foi fácil obter essa
> > > informação.
> > > > > > >> >>>>>
> > > > > > >> >>>>> "TIMganaram"
> > > > > > >> >>>>
> > > > > > >> >>>>
> > > > > > >> >>>>
> > > > > > >> >>>> Não é só um bloco ou ip específico, e de forma aleatória.
> > > > > > >> >>>>>
> > > > > > >> >>>>> Isso é uma informação interessante de que você é o alvo,
> > > > então.
> > > > > > >> >>>>
> > > > > > >> >>>>
> > > > > > >> >>>> Estamos negociando com serviços Anti-DDOS, quem tiver
> > > sugestões
> > > > > > favor
> > > > > > >> >>>>> encaminhar
> > > > > > >> >>>>>
> > > > > > >> >>>>> UDP rima com Staminus:
> > > > > > >> >>>> https://www.staminus.net/
> > > > > > >> >>>>
> > > > > > >> >>>> Mas outros serviços poderiam fazer RTBH por IP destino ou
> > > > > filtros,
> > > > > > já
> > > > > > >> que
> > > > > > >> >>>> você poderia descartar todo esse tráfego UDP 1900 sem
> dó...
> > > se
> > > > > > fosse
> > > > > > >> para
> > > > > > >> >>>> analisar se/quando responder em UDP é que seria um pouco
> > mais
> > > > > > sutil.
> > > > > > >> >>>>
> > > > > > >> >>>>
> > > > > > >> >>>> Rubens
> > > > > > >> >>>> --
> > > > > > >> >>>> gter list
> https://eng.registro.br/mailman/listinfo/gter
> > > > > > >> >>>>
> > > > > > >> >>>>
> > > > > > >> >>>
> > > > > > >> >>>
> > > > > > >> >> --
> > > > > > >> >> Atenciosamente,
> > > > > > >> >>
> > > > > > >> >>
> > > > > > >> >>
> > > > > > >> >> --
> > > > > > >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > > >> >>
> > > > > > >> >
> > > > > > >> >
> > > > > > >> >
> > > > > > >> > --
> > > > > > >> > <http://www.vescnet.com.br>
> > > > > > >> > Glauber Derlland
> > > > > > >> > 81-3497-7250
> > > > > > >> > 81-4062-9722
> > > > > > >> > 81-988-593-306
> > > > > > >> > 11-4063-1673
> > > > > > >> > INOC-DBA.br: 262792*100
> > > > > > >> >
> > > > > > >> > WhatsApp: 55 81 8163-7122
> > > > > > >> > Viper: 55 81 8163-7122
> > > > > > >> > Skype: vescnet
> > > > > > >> > Facebook: vescnet
> > > > > > >> > Twitter: @vescnet
> > > > > > >> > ICQ: 670280143
> > > > > > >> >
> > > > > > >> > www.vescnet.com.br
> > > > > > >> > https://beta.peeringdb.com/net/4988 <
> > > > http://as262792.peeringdb.com/
> > > > > >
> > > > > > >> > Maps <http://goo.gl/maps/ugZkZ>
> > > > > > >> > --
> > > > > > >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > > >>
> > > > > > >> --
> > > > > > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >--
> > > > > > ><http://www.vescnet.com.br>
> > > > > > >Glauber Derlland
> > > > > > >81-3497-7250
> > > > > > >81-4062-9722
> > > > > > >81-988-593-306
> > > > > > >11-4063-1673
> > > > > > >INOC-DBA.br: 262792*100
> > > > > > >
> > > > > > >WhatsApp: 55 81 8163-7122
> > > > > > >Viper: 55 81 8163-7122
> > > > > > >Skype: vescnet
> > > > > > >Facebook: vescnet
> > > > > > >Twitter: @vescnet
> > > > > > >ICQ: 670280143
> > > > > > >
> > > > > > >www.vescnet.com.br
> > > > > > >https://beta.peeringdb.com/net/4988 <
> > http://as262792.peeringdb.com/
> > > >
> > > > > > >Maps <http://goo.gl/maps/ugZkZ>
> > > > > > >--
> > > > > > >gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > > --
> > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > <http://www.vescnet.com.br>
> > > > > Glauber Derlland
> > > > > 81-3497-7250
> > > > > 81-4062-9722
> > > > > 81-988-593-306
> > > > > 11-4063-1673
> > > > > INOC-DBA.br: 262792*100
> > > > >
> > > > > WhatsApp: 55 81  8163-7122
> > > > > Viper: 55 81 8163-7122
> > > > > Skype: vescnet
> > > > > Facebook: vescnet
> > > > > Twitter: @vescnet
> > > > > ICQ: 670280143
> > > > >
> > > > > www.vescnet.com.br
> > > > > https://beta.peeringdb.com/net/4988 <
> http://as262792.peeringdb.com/>
> > > > > Maps <http://goo.gl/maps/ugZkZ>
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > >
> > >
> > >
> > > --
> > > <http://www.vescnet.com.br>
> > > Glauber Derlland
> > > 81-3497-7250
> > > 81-4062-9722
> > > 81-988-593-306
> > > 11-4063-1673
> > > INOC-DBA.br: 262792*100
> > >
> > > WhatsApp: 55 81  8163-7122
> > > Viper: 55 81 8163-7122
> > > Skype: vescnet
> > > Facebook: vescnet
> > > Twitter: @vescnet
> > > ICQ: 670280143
> > >
> > > www.vescnet.com.br
> > > https://beta.peeringdb.com/net/4988 <http://as262792.peeringdb.com/>
> > > Maps <http://goo.gl/maps/ugZkZ>
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
>
> --
> Eduardo Schoedler
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list