[GTER] Trafego estranho - Portas de origem e destino = 0

willian pires willian_pires at hotmail.com
Mon Jul 17 12:13:07 -03 2017 

Instale um firewall com capacidade 10Gb logo abaixo da borda e seja feliz.


Voce pode montar um ambiente do tipo bgp magnectic.


1 fw-router linux centos 7 com quagga instalado logo abaixo do seu router de borda.

sessao bgp entre eles com metric e weight que façam com que qualquer anuncio

desse firewall seja direcionado a ele.


2, uma interface lan "default" gw entregando diretamente no seu switch de distribuição

ou router core.


mantenha o minimo de rotas possiveis.


Quando vc anunciar 1 prefixo /32 de um router seu que esta tomando ataque o seu router

de borda envia o trafego a esse firewall que contem o conjunto de regras para filtra-lo.


Quando vc nao quiser mais fazer isso voce tira o anuncio bgp e boa.


Vc pode caputurar todos os ips de seus roteadores e filtrar dessa fora, e deixar seus clientes livres.


Simples e fácil.


________________________________
De: gter <gter-bounces at eng.registro.br> em nome de Sávio Marques <savio.marques at sustentatelecom.com.br>
Enviado: domingo, 9 de julho de 2017 18:43:01
Para: gter at eng.registro.br
Assunto: Re: [GTER] Trafego estranho - Portas de origem e destino = 0

Possivel inicio de Ataque, tive um cenário parecido e em seguida, levei
ataque.

Hoje tenho mitigação, estou tranquilo.srsrs


Em 08/07/2017 23:33, Renan Menezes escreveu:
> Verifique os filtros de saída seus para os seus upstream, se você for
> trânsito de algum outro AS informe para que eles também o façam(filtros
> antispoof).
>
> Se mesmo na blackhole eles estão ainda continuando quer dizer que a origem
> não é bem a que é relatada.
>
> Estou configurando o NFSEN aqui no provedor para inclusive conseguir
> realizar respostas mais rápidas e ágeis a este tipo de ataques.
>
> Verifique também se não há muitas portas 22 em seu provedor aberta, se não
> há DNS com recursividade.
>
> É muito tenso esta batalha da segurança, aqui meus maiores problemas são
> Boot para SSH, Telnet e uns protocolos de VPN tentando fechar com
> roteadores que nem ativado VPN possuem.
>
> Tente usar um contabilizador para que você possa analisar o que está
> chegando pra vocês.
>
> Ótima Semana a todos!
>
> Em 8 de julho de 2017 20:47, Paulo Henrique <paulohenriquef at gmail.com>
> escreveu:
>
>> Boa noite senhores, já faz alguns dias que nos deparamos em nossa rede com
>> tráfego bastante suspeito, os flows mostram portas de origem e destino 0
>> (zero) e o tráfego sempre tem destino a rede de uma operadora Indiana (IDEA
>> CELLULAR - AS45271).
>> Abaixo segue um trecho dos flows capturados usando flow-tools.
>>
>> Start                        End                         Sif   SrcIPaddress
>>     SrcP  DIf   DstIPaddress    DstP    P Fl Pkts       Octets
>> 0708.20:29:56.000 0708.20:29:56.000 39    xxx.yyy.123.139 0     1
>> 1.187.194.123   0     13  0  1          1414
>> 0708.20:30:01.000 0708.20:30:01.000 39    xxx.yyy.121.120 0     1
>> 1.187.202.17    0     57  0  1          1414
>> 0708.20:29:56.000 0708.20:29:56.000 39    xxx.yyy.114.74  0     1
>> 1.187.246.113   0     16  0  1          1426
>> 0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.123.86  0     1
>> 1.187.15.61     0     57  0  1          1414
>> 0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.123.169 0     1
>> 1.187.193.206   0     13  0  1          1414
>> 0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.123.151 0     1
>> 1.187.193.200   0     13  0  1          123
>> 0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.114.250 0     1
>> 1.187.24.152    0     13  0  1          1426
>>
>> Os endereços na coluna SrcIPaddress são de nossa rede, utilizados por
>> clientes conectados via PPPoE.
>>
>> Além das portas de origem e destino 0, notem os protocolos 13, 16 e 57
>> (argus, chaos e skip).
>>
>> Coloquei o prefixo 1.187.0.0/16 em blackhole já faz mais de uma semana e
>> até agora não apareceram reclamações, mas o tráfego persiste.
>> Suspeito que esteja diante de atividade maliciosa, por isso gostaria de
>> "ouvir" os colegas que por ventura já tenham se deparado com algo
>> semelhante ou que possam me indicar como proceder neste cenário.
>>
>> Att.
>>
>>
>> --
>> Paulo Henrique Fonseca
>> paulohenriquef at gmail.com
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list