[GTER] [caiu] DDos em massa partindo de IPS nacionais

Raphael Pontara pontara at outlook.com
Fri Jul 27 10:35:55 -03 2018


Thiago, só aproveitando o gancho.

Eu gostaria de relatar que percebi um comportamento parecido quando ativo assinantes de link dedicado nos provedores que atendo.

Curiosamente, clientes residenciais - que se conectam por PPPoE - não apresentam a mesma dinâmica.

Trata-se do seguinte:
Ao ativar o cliente corporativo com IP estático na interface de acesso, basta estabelecer rota default no cliente e o tráfego da porta “TOPA” (limitado ao controle de banda setado no cliente) no sentido de upload (do cliente para fora) por aproximadamente 10 segundos

Imediatamente também ocorre brute-force, vindo de IPs com o primeiro e o segundo octetos IGUAIS aos do cliente ativado (obviamente, o terceiro e o quarto são diferente).

Isso me chamou a atenção e resolvi coletar algumas informações.

Para minha surpresa, a maioria dos ASes que realizam brute-force (com o 1º e 2º octetos iguais ao do AS atacado), são do Brasil e de fato estavam comprometidos.

Não consegui - ainda - coletar o que sai do cliente recém ativado.
Na próxima ativação eu pretendo coletar com o wireshark ou outra ferramenta.

Raphael Pontara
+55 27 99252-5555 (Claro)
+55 27 99998-6904 (Vivo)

Em 27 de jul de 2018, à(s) 09:50, THIAGO AYUB <thiago.ayub at upx.com> escreveu:

> Olá Rafael,
> 
> 
> Esse assunto é off-topic para a lista CAIU e mas é on-topic na GTER.
> 
> Isso acontece o tempo todo. Já há alguns anos quando acompanho algum
> prefixo que nunca foi anunciado na tabela global de roteamento assim que
> ele o é pela primeira vez, em segundos (5 ou menos) já vejo brute force
> chegar. É tão certeiro que suponho que exista sim gente monitorando os
> anúncios na tabela global para focar brute force em sistemas autônomos
> recém-inaugurados, mal configurados etc.
> 
> A conduta correta é reportar todos os casos. Fazemos isso para os endereços
> que constam no WHOIS dos IPs (e sinto falta de um explícito contato de
> ABUSE nos registros brasileiros). Somente neste ano cerca de 26% dos AS
> brasileiros já receberam algum abuse report nosso. Mas a esmagadora maioria
> faz pouco caso, ignora, não responde, não toma providências. Seguem a
> errônea filosofia do "Se meu cliente não tá reclamando, não tenho que tomar
> providências.".
> 
> Diante disso, passamos a reportar os casos para várias blacklists as quais
> temos convênio para relatar incidentes, como por exemplo a
> https://www.abuseipdb.com/user/15015 que é patrocinada pela DigitalOcean.
> Temos obtido com essas inclusões em blacklists os melhores resultados, já
> que os IPs citados param de conseguir acessar servidores de IRC, passam a
> ter e-mails rejeitados, não entram mais em servidores de jogos e até alguns
> tribunais de justiça brasileiros rejeitam o login de IPs nessas blacklists.
> Aí sim os clientes do ISP/datacenter começam a reclamar e o responsável
> pelo AS toma as devidas providências.
> 
> Abraços,
> 
> 
> 
> *Thiago Ayub *| Network Director
> 
> +55 (11) 2626-3952 <(11)%202626-3952>
> upx.com
> 
> 
> 2018-07-26 3:04 GMT-03:00 Rafael VOlpe TI <rafaelvolpeti at gmail.com>:
> 
>> Bom dia galera,
>> 
>> mais alguém tem enfrentado ataques DDos (Geralmente em Webservers), em
>> LARGA escala (mais de 5000 ips nacionais - Vivo/Claro/Ctbc) para aplicações
>> WEB?
>> 
>> Rapaz, eu tenho recebido muito, mais muito ataque de bots partindo desses
>> endereços.
>> Geralmente atacam WEB/Banco/Ftp, tudo junto.
>> 
>> Mais alguém tem enfrentado isso? As operadoras tem feito algo sobre isso?
>> 
>> Abraços.
>> _______________________________________________
>> caiu mailing list
>> caiu at eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>> 
>> 
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> 
>> https://eng.registro.br/mailman/options/caiu
>> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter


More information about the gter mailing list