[GTER] Bots scaneando minha rede

Délsio Cabá delsio at gmail.com
Fri May 26 07:20:56 -03 2017


Caro,

A ideia e valida

Entretanto eu pretendo am lugar de bloquear (por ocupar mais
processamento no equipamento), encaminhar para uma interface
(blackhole) a nivel do nosso router BGP
Farei isso tanto para esses bots, ddos, etc

Entretanto agradeco pela ideia

Resumindo criaste aquilo que chama-se de HONEYPOT

Abracos

No dia 26 de maio de 2017 às 06:59, willian pires
<willian_pires at hotmail.com> escreveu:
> Delcio o que esta acontecendo com voce e uma verdade da internet.
>
> Russia, India,China e Colombia passam o dia todo escaneando a internet, e infelizmente nao adianta falar com Y com X entrar em contato com o mantenedor do AS eles cagam e andam.
>
>
> Por conta disso acabei implementando um processo aqui que me ajudou, peguei um linux e deixei ele com iptables logando qualquer atividade nele tudo mesmo 100% e todas as conexoes que chegam nele depois de 3 contadores sao adicionadas a uma lista negra bloqueio por 4 a 5 horas.
>
>
> Exclui alguns blocos de ip como facebook google akamai,  porque chega muito request falso e voce acaba bloqueando quem nao deve.
>
>
> Depois do 3 contador eu adiciono o ip em um banco de dados sqlite com um timestamp de quando eu bloquei e na sequencia adiciono uma regra a acl em meu switch L2 de agregacao de borda com filtro para o ip de origem, com isso os pacotes ate chegam pelo link mas nao atravessam nem para o router.
>
>
> Diminuiu absurdamente problemas.
>
>
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de Bruno Cesar <brunohardhouse at gmail.com>
> Enviado: quarta-feira, 24 de maio de 2017 09:05:01
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Bots scaneando minha rede
>
> Délsio, geralmente port scans utilizam combinações de flags TCP quem podem
> ser identificadas e até bloqueados, vai depender da tecnologia que utiliza
> na sua borda, apenas router, firewall etc...
>
>
> 2017-05-24 9:47 GMT-03:00 Fred Pedrisa <pedrisa at hyperfilter.com>:
>
>> Isso todos nós sofremos, não há como impedir/resolver.
>>
>> Você pode até instalar um IDS e uns honeypots, pra tentar minimizar, mas
>> resolver não.
>>
>> Use boas práticas de firewall e mantenha seus aplicativos sempre
>> atualizados.
>>
>> Com o IDS e o Honeypot, você pode montar algum script pra notificar as
>> redes desses IPs sobre a atividade não autorizada.
>>
>>
>> On 24/05/2017 01:16, Délsio Cabá wrote:
>>
>>> Caros
>>>
>>> Tenho uma /21 que comecei a anunciar apenas a 1 semana
>>>
>>> Tenho estado a observar ips estranhos a tentar comunicar para portas
>>> aleatorias constantemente
>>> Infeluzmente nao da para descartar pq o ip de origem muda sempre
>>>
>>> Alguem poderia dar uma dica?
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>
>> --
>> Fred Pedrisa - CEO/CTO
>> HyperFilter DDoS Protection Solutions
>> A FNXTEC, Company.
>> https://www.hyperfilter.com
>>
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
>
> --
> Bruno Cesar
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list