[GTER] [caiu] DDos em massa partindo de IPS nacionais
Fred Pedrisa
pedrisa at hyperfilter.com
Fri Jul 27 18:19:48 -03 2018
Aí depende muito... Se forem conexões TCP capazes de realizar o 3WH, vão
realmente ser maquinas comprometidas, não se tratando de spoofing (neste
caso, como eles mesmos disseram, brute forcing).
IPs Spoofados não conseguem fechar o Handshake do TCP jamais. :)
On 27/07/2018 14:02, Antonio Carlos Pina wrote:
> Pessoal, só não esqueçam que em se tratando de ataque DDoS, os IPs podem
> ser esses mas também podem não ser. Ataques spoofing são muito mais comuns.
> ou seja, o ataque pode estar vindo da Coreia do Norte com os IPs do UOL e
> não se pode acreditar piamente que é do UOL. Pode falar com o administrador
> mas entendendo que pode não ser real.
>
> Abs
>
> Em 27 de julho de 2018 13:20, Rafael Galdino <sup.rafaelgaldino at gmail.com>
> escreveu:
>
>> meu xará Raphael. já tenho um caso parecido cliente com o 143.255.x.x ai
>> tem um cara no mesmo octeto, digo o primeiro e segundo, o cara é
>> diretoooooo telnet e ssh para a rede desse meu cliente, já consegui ate o
>> WhatsApp do dono, reportei, expliquei, mandei print. sabe a resposta?
>>
>> vou verificar...
>> ai mando depois perguntando e ai conseguiu bloquear?
>>
>> resposta: .... .... .......
>>
>> enfim o povo acha que ter provedor é: ping abrir facebook e já era
>>
>> Em sex, 27 de jul de 2018 às 13:10, Raphael Pontara <pontara at outlook.com>
>> escreveu:
>>
>>> Thiago, só aproveitando o gancho.
>>>
>>> Eu gostaria de relatar que percebi um comportamento parecido quando ativo
>>> assinantes de link dedicado nos provedores que atendo.
>>>
>>> Curiosamente, clientes residenciais - que se conectam por PPPoE - não
>>> apresentam a mesma dinâmica.
>>>
>>> Trata-se do seguinte:
>>> Ao ativar o cliente corporativo com IP estático na interface de acesso,
>>> basta estabelecer rota default no cliente e o tráfego da porta “TOPA”
>>> (limitado ao controle de banda setado no cliente) no sentido de upload
>> (do
>>> cliente para fora) por aproximadamente 10 segundos
>>>
>>> Imediatamente também ocorre brute-force, vindo de IPs com o primeiro e o
>>> segundo octetos IGUAIS aos do cliente ativado (obviamente, o terceiro e o
>>> quarto são diferente).
>>>
>>> Isso me chamou a atenção e resolvi coletar algumas informações.
>>>
>>> Para minha surpresa, a maioria dos ASes que realizam brute-force (com o
>> 1º
>>> e 2º octetos iguais ao do AS atacado), são do Brasil e de fato estavam
>>> comprometidos.
>>>
>>> Não consegui - ainda - coletar o que sai do cliente recém ativado.
>>> Na próxima ativação eu pretendo coletar com o wireshark ou outra
>>> ferramenta.
>>>
>>> Raphael Pontara
>>> +55 27 99252-5555 (Claro)
>>> +55 27 99998-6904 (Vivo)
>>>
>>> Em 27 de jul de 2018, à(s) 09:50, THIAGO AYUB <thiago.ayub at upx.com>
>>> escreveu:
>>>
>>>> Olá Rafael,
>>>>
>>>>
>>>> Esse assunto é off-topic para a lista CAIU e mas é on-topic na GTER.
>>>>
>>>> Isso acontece o tempo todo. Já há alguns anos quando acompanho algum
>>>> prefixo que nunca foi anunciado na tabela global de roteamento assim
>> que
>>>> ele o é pela primeira vez, em segundos (5 ou menos) já vejo brute force
>>>> chegar. É tão certeiro que suponho que exista sim gente monitorando os
>>>> anúncios na tabela global para focar brute force em sistemas autônomos
>>>> recém-inaugurados, mal configurados etc.
>>>>
>>>> A conduta correta é reportar todos os casos. Fazemos isso para os
>>> endereços
>>>> que constam no WHOIS dos IPs (e sinto falta de um explícito contato de
>>>> ABUSE nos registros brasileiros). Somente neste ano cerca de 26% dos AS
>>>> brasileiros já receberam algum abuse report nosso. Mas a esmagadora
>>> maioria
>>>> faz pouco caso, ignora, não responde, não toma providências. Seguem a
>>>> errônea filosofia do "Se meu cliente não tá reclamando, não tenho que
>>> tomar
>>>> providências.".
>>>>
>>>> Diante disso, passamos a reportar os casos para várias blacklists as
>>> quais
>>>> temos convênio para relatar incidentes, como por exemplo a
>>>> https://www.abuseipdb.com/user/15015 que é patrocinada pela
>>> DigitalOcean.
>>>> Temos obtido com essas inclusões em blacklists os melhores resultados,
>> já
>>>> que os IPs citados param de conseguir acessar servidores de IRC,
>> passam a
>>>> ter e-mails rejeitados, não entram mais em servidores de jogos e até
>>> alguns
>>>> tribunais de justiça brasileiros rejeitam o login de IPs nessas
>>> blacklists.
>>>> Aí sim os clientes do ISP/datacenter começam a reclamar e o responsável
>>>> pelo AS toma as devidas providências.
>>>>
>>>> Abraços,
>>>>
>>>>
>>>>
>>>> *Thiago Ayub *| Network Director
>>>>
>>>> +55 (11) 2626-3952 <(11)%202626-3952>
>>>> upx.com
>>>>
>>>>
>>>> 2018-07-26 3:04 GMT-03:00 Rafael VOlpe TI <rafaelvolpeti at gmail.com>:
>>>>
>>>>> Bom dia galera,
>>>>>
>>>>> mais alguém tem enfrentado ataques DDos (Geralmente em Webservers), em
>>>>> LARGA escala (mais de 5000 ips nacionais - Vivo/Claro/Ctbc) para
>>> aplicações
>>>>> WEB?
>>>>>
>>>>> Rapaz, eu tenho recebido muito, mais muito ataque de bots partindo
>>> desses
>>>>> endereços.
>>>>> Geralmente atacam WEB/Banco/Ftp, tudo junto.
>>>>>
>>>>> Mais alguém tem enfrentado isso? As operadoras tem feito algo sobre
>>> isso?
>>>>> Abraços.
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu at eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>>
>> --
>>
>> *Rafael Galdino*
>>
>>
>> * Analista de redes*
>>
>> Inoc: 265147*100
>>
>> Phone:
>>
>> *+55 (83) 99600-0242*
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
--
Fred Pedrisa - CEO/CTO
HyperFilter DDoS Protection Solutions
A FNXTEC, Company.
https://www.hyperfilter.com
More information about the gter
mailing list