[GTER] Relatorio com top-1000 ASNs com mais IPs infectados

Raphael Pontara pontara at outlook.com
Sun Jul 8 00:18:12 -03 2018 

Rafael,

Isso tem ocorrido bastante.
É um padrão muito característico de escaneamento.

Eu também tenho observado este tipo de ‘ataque’, no qual o invasor usa um IP parecido com o do ASN atacado.

Inclusive, pela listagem que consta no ftp do registro.br, eu constatei que as tentativas de acesso não autorizados seguiam - além do padrão do IP parecido - a sequência do número do AS.

Ex: 
Primeiro ataque vindo do ASxxx01 IPs 200.200.0.0/22.
Segundo ataque vindo do ASxx06 IPs 200.200.12.0/22.
Terceito ataque vindo do ASxxx07 IPs
200.200.20.0/22.

Para ficar mais claro, imagine que entre o ASxx01 e o ASxx06 os blocos atribuídos não são parecidos e por este motivo, não são usados no escaneamento.

Outra variável é que nem todos os AS com blocos parecidos foram listados como origem de escaneamentos, o que me leva a crer que a rede esteja devidamente controlada.

Sobre a Lista da Vergonha, eu sou favorável a sua criação e manutenção.
Não como forma de punir ou ridicularizar o ASN, mas como base de consulta para os administradores de rede interessados em cuidar bem de suas redes.

Afinal, ninguém nasce sabendo tudo, todos os dias temos novas vulnerabilidades descobertas/expostas e principalmente, ninguém tem o controle de uma coisa que muda a todo instante.

Uma ideia seria - talvez até o cert.br pudesse manter o serviço - haver um canal no qual os operadores de redes pudessem relatar de forma sucinta sobre um ataque, informando o IP de origem, porta/protocolo usados e o horário. Sendo que, quando relatado, o detentor do bloco recebesse uma mensagem avisando sobre o relato e informando o AS originador do relato para que este possa receber um feedback sobre as medidas tomadas.

Uma outra possibilidade seria a de haver uma sessão bgp privada na qual os participantes anunciassem os IPs de origem dos ataques juntamente com uma comunnitie que identificasse o tipo de ataque recebido, sendo que, quando mais que X operadores anunciassem estes mesmos IPs com esta comunnitie, o cert.br interpretasse que de fato se trata de uma rede (origem) comprometida e a notificasse.

Enfim, são ideias que eu mesmo não sei como viabilizar, mas que poderiam simplesmente alimentar uma base de origem de ataques para consulta e referência na hora de criar filtros de firewall.


Raphael Pontara
+55 27 99252-5555 (Claro)
+55 27 99998-6904 (Vivo)

Em 7 de jul de 2018, à(s) 20:41, Rafael Galdino <sup.rafaelgaldino at gmail.com> escreveu:

> Raphael xará
> 
> engraçado que ontem mesmo já estava contactando um ASN que sempre mas
> sempre sai uns brute force dos ips dele, e ele sempre fala que está normal.
> bloco de ip parecido com um cliente meu 143.255.x.x
> já alertei váriassssss vezes.
> 
> será que com uma lista dessa o cara crie Vergonha na cara?
> 
> espero que ele veja isso.
> 
> Em sáb, 7 de jul de 2018 às 12:00, Raphael Pontara <pontara at outlook.com>
> escreveu:
> 
>> É uma pena que os grandes fornecedores de internet não figurem na ‘lista
>> da vergonha’.
>> Alguns deles - sozinhos - têm pelo menos 100x mais focos de ataques do que
>> todos os TOP1000 juntos.
>> 
>> O que não os deixa figurar na lista, é o fato de serem detentores de
>> blocos IP muito maiores do que os blocos dos ASNs expostos, diminuindo
>> assim o ‘ratio’ dos mesmos.
>> 
>> Mesmo assim, não tiro a importância da lista, pois ajuda e incentiva os
>> ASNs listados a identificarem falhas que não foram percebidas.
>> 
>> Dos ASNs brasileiros listados, eu identifiquei pelo menos 1/3 em uma
>> listagem de origem dos ataques recebidos recentemente pelas redes que
>> administro.
>> Destes, notifiquei quase a metade - através do e-mail que consta no whois
>> - e cerca de 80% retornou minha notificação informando que tomou as
>> providências necessárias para corrigir as falhas que apontei.
>> 
>> Alguns deles estavam com a caixa de mensagens cheia e eu acabei ligando
>> para o número disponível também no whois.
>> 
>> Não coincidentemente - acredito eu - os ataques às redes que administro
>> foram reduzidos proporcionalmente ao feedback que recebi, o que - para mim
>> - comprova a importância de se notificar uma rede sobre um incidente que a
>> envolva.
>> 
>> Pode ter sido coincidência, mas se os ISPs se ajudassem - em vez de
>> concorrerem ferozmente -, poderíamos ter uma internet mais segura e
>> eficiente.
>> 
>> Ps: Tanto a listagem que eu adquiri quanto as notificações que eu
>> realizei, foram feitas de forma manual ou semi-automatizada.
>> 
>> Eu gostaria de poder contar com sugestões dos colegas para automatizar
>> este processo - identificação e notificação - e torna-lo mais eficiente.
>> 
>> Aquele que conhece e sabe como contribuir, estará também se ajudando, se é
>> que me entenderam.
>> 
>> 
>> Raphael Pontara
>> +55 27 99252-5555 (Claro)
>> +55 27 99998-6904 (Vivo)
>> 
>> Em 6 de jul de 2018, à(s) 11:33, Douglas Fischer <fischerdouglas at gmail.com>
>> escreveu:
>> 
>>> ADOREI a lista da vergonha!
>>> 
>>> Poderia até rolar uma campanha:
>>> "Não use provedor que esteja na lista da vergonha!"
>>> 
>>>> Em sex, 6 de jul de 2018 às 01:41, Rubens Kuhl <rubensk at gmail.com>
>> escreveu:
>>>> 
>>>> 
>>>> 
>> https://gist.githubusercontent.com/andrew-morris/8169cd1a0350f3b3618642b763394268/raw/239ffcc3ec7089357a158af5c3ab9ee4ffdc4e00/jacked.txt
>>>> 
>>>> Dos top-20, 5 são redes BR:
>>>> COUNTRY RATIO ASN POPPED SIZE ORG
>>>> BR 0.3945 AS52635 404 1024 SPEEDCONNECT - TECNOLOGIA E EQUIPAMENTOS
>>>> 0.25 AS60490 1 4 MTS PJSC
>>>> 0.25 AS198517 1 4 DOLNET GROUP sp. z o.o.
>>>> BR 0.2158 AS263256 442 2048 PROVEDOR DE INTERNET EXTREMA LTDA - ME
>>>> 0.208 AS264643 213 1024 Enredes S.A.
>>>> 0.1941 AS133469 795 4096 Multinet (Udaipur) Private Limited
>>>> 0.1592 AS263051 326 2048 Infopardall Ltda me
>>>> 0.1426 AS133692 146 1024 Fastnet Communication Pvt. Ltd.
>>>> 0.1406 AS135195 36 256 NS COMPUTERS
>>>> 0.1328 AS133226 68 512 VISION SMARTLINK NETWORKING PRIVATE LIMITED
>>>> 0.1258 AS55915 934 7424 Classic Tech Pvt. Ltd.
>>>> 0.1224 AS55649 815 6656 METRONET-HK
>>>> BR 0.1113 AS263368 228 2048 INFOBY - CASA DA INFORMATICA LTDA - ME
>>>> 0.1047 AS14420 3538 33792 CORPORACION NACIONAL DE TELECOMUNICACIONES -
>> CNT
>>>> EP
>>>> 0.0977 AS39517 25 256 HOSTMAZE INC SRL-D
>>>> BR 0.0962 AS263640 197 2048 O. S. J. NET LTDA - ME
>>>> BR 0.0938 AS265893 72 768 RG LOCACAO E INFORMATICA LTDA ME
>>>> 0.0938 AS133711 24 256 Home Broadband Services LLP
>>>> 0.0908 AS132960 279 3072 Mukand Infotel Pvt Ltd.
>>>> 0.0779 AS44581 621 7968 AllTele Allmanna Svenska Telefonaktiebolaget
>>>> 
>>>> 
>>>> Rubens
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>> 
>>> 
>>> 
>>> --
>>> Douglas Fernando Fischer
>>> Engº de Controle e Automação
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
> 
> 
> -- 
> 
> *Rafael Galdino*
> 
> 
> *      Analista de redes*
> 
> 
> 
>      Phone:
> 
> *+55 (83) 98211-9090*
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list