[GTER] Bots scaneando minha rede

willian pires willian_pires at hotmail.com
Fri May 26 01:59:29 -03 2017


Delcio o que esta acontecendo com voce e uma verdade da internet.

Russia, India,China e Colombia passam o dia todo escaneando a internet, e infelizmente nao adianta falar com Y com X entrar em contato com o mantenedor do AS eles cagam e andam.


Por conta disso acabei implementando um processo aqui que me ajudou, peguei um linux e deixei ele com iptables logando qualquer atividade nele tudo mesmo 100% e todas as conexoes que chegam nele depois de 3 contadores sao adicionadas a uma lista negra bloqueio por 4 a 5 horas.


Exclui alguns blocos de ip como facebook google akamai,  porque chega muito request falso e voce acaba bloqueando quem nao deve.


Depois do 3 contador eu adiciono o ip em um banco de dados sqlite com um timestamp de quando eu bloquei e na sequencia adiciono uma regra a acl em meu switch L2 de agregacao de borda com filtro para o ip de origem, com isso os pacotes ate chegam pelo link mas nao atravessam nem para o router.


Diminuiu absurdamente problemas.


________________________________
De: gter <gter-bounces at eng.registro.br> em nome de Bruno Cesar <brunohardhouse at gmail.com>
Enviado: quarta-feira, 24 de maio de 2017 09:05:01
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Bots scaneando minha rede

Délsio, geralmente port scans utilizam combinações de flags TCP quem podem
ser identificadas e até bloqueados, vai depender da tecnologia que utiliza
na sua borda, apenas router, firewall etc...


2017-05-24 9:47 GMT-03:00 Fred Pedrisa <pedrisa at hyperfilter.com>:

> Isso todos nós sofremos, não há como impedir/resolver.
>
> Você pode até instalar um IDS e uns honeypots, pra tentar minimizar, mas
> resolver não.
>
> Use boas práticas de firewall e mantenha seus aplicativos sempre
> atualizados.
>
> Com o IDS e o Honeypot, você pode montar algum script pra notificar as
> redes desses IPs sobre a atividade não autorizada.
>
>
> On 24/05/2017 01:16, Délsio Cabá wrote:
>
>> Caros
>>
>> Tenho uma /21 que comecei a anunciar apenas a 1 semana
>>
>> Tenho estado a observar ips estranhos a tentar comunicar para portas
>> aleatorias constantemente
>> Infeluzmente nao da para descartar pq o ip de origem muda sempre
>>
>> Alguem poderia dar uma dica?
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
> --
> Fred Pedrisa - CEO/CTO
> HyperFilter DDoS Protection Solutions
> A FNXTEC, Company.
> https://www.hyperfilter.com
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



--
Bruno Cesar
--
gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list