[GTER] [caiu] DDos em massa partindo de IPS nacionais

THIAGO AYUB thiago.ayub at upx.com
Thu Jul 26 18:25:24 -03 2018 

Olá Rafael,


Esse assunto é off-topic para a lista CAIU e mas é on-topic na GTER.

Isso acontece o tempo todo. Já há alguns anos quando acompanho algum
prefixo que nunca foi anunciado na tabela global de roteamento assim que
ele o é pela primeira vez, em segundos (5 ou menos) já vejo brute force
chegar. É tão certeiro que suponho que exista sim gente monitorando os
anúncios na tabela global para focar brute force em sistemas autônomos
recém-inaugurados, mal configurados etc.

A conduta correta é reportar todos os casos. Fazemos isso para os endereços
que constam no WHOIS dos IPs (e sinto falta de um explícito contato de
ABUSE nos registros brasileiros). Somente neste ano cerca de 26% dos AS
brasileiros já receberam algum abuse report nosso. Mas a esmagadora maioria
faz pouco caso, ignora, não responde, não toma providências. Seguem a
errônea filosofia do "Se meu cliente não tá reclamando, não tenho que tomar
providências.".

Diante disso, passamos a reportar os casos para várias blacklists as quais
temos convênio para relatar incidentes, como por exemplo a
https://www.abuseipdb.com/user/15015 que é patrocinada pela DigitalOcean.
Temos obtido com essas inclusões em blacklists os melhores resultados, já
que os IPs citados param de conseguir acessar servidores de IRC, passam a
ter e-mails rejeitados, não entram mais em servidores de jogos e até alguns
tribunais de justiça brasileiros rejeitam o login de IPs nessas blacklists.
Aí sim os clientes do ISP/datacenter começam a reclamar e o responsável
pelo AS toma as devidas providências.

Abraços,



*Thiago Ayub *| Network Director

+55 (11) 2626-3952 <(11)%202626-3952>
upx.com


2018-07-26 3:04 GMT-03:00 Rafael VOlpe TI <rafaelvolpeti at gmail.com>:

> Bom dia galera,
>
> mais alguém tem enfrentado ataques DDos (Geralmente em Webservers), em
> LARGA escala (mais de 5000 ips nacionais - Vivo/Claro/Ctbc) para aplicações
> WEB?
>
> Rapaz, eu tenho recebido muito, mais muito ataque de bots partindo desses
> endereços.
> Geralmente atacam WEB/Banco/Ftp, tudo junto.
>
> Mais alguém tem enfrentado isso? As operadoras tem feito algo sobre isso?
>
> Abraços.
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>

More information about the gter mailing list