[GTER] [caiu] DDos em massa partindo de IPS nacionais

Davi Nunes cahet.davi at gmail.com
Sat Jul 28 00:04:54 -03 2018 

@Raphael,

por favor cite os 2s primeiro número (octetos) ou o primeiro mesmo de
qualquer um dos endereços que você pegou

Em sex, 27 de jul de 2018 às 22:29, Raphael Pontara <pontara at outlook.com>
escreveu:

> Em todas as ocasiões em que mencionei o fato de que as tentativas de
> brute-forcing contra um AS vinham de IPs com os dois primeiros octetos
> IGUAIS, a maioria das pessoas levantou o argumento de spoofing.
>
> Não só isso, uns mencionaram a ineficiência de um ‘ataque’ vindo APENAS de
> IPs parecidos e outros levantaram a ideia de que IPs parecidos geralmente
> estão sob o mesmo RIR/LIR, o que reforçaria a suspeita de spoofing.
>
> Bem...
>
> Durante minhas análises, pude notar uma outra ‘coincidência’, a de que os
> blocos ‘atacantes’ seguiam a sequência numérica designada a cada ASN (Ex:
> AS001, AS002, AS003, etc), saltando os ASes que não possuíam blocos
> ‘parecidos’ e, no caso dos ‘parecidos’ saltados, talvez estes não
> estivessem comprometidos.
>
> É importante dizer que - SIM - estes blocos tentavam iniciar a conexão e
> nos casos em que o equipamento serviu de isca, o atacante (com o bloco
> parecido) realizou o ‘aperto de mãos’ e ‘se despediu’ em seguida.
>
> Não posso afirmar que seja algo restrito às terras Tupiniquins, pois não
> tive a oportunidade de observar este ‘fenômeno’ em outras nacionalidades.
>
> Porém, o fato marcante de seguir uma sequência E, usar blocos parecidos,
> levanta a hipótese de que o atacante quer explorar ‘dedos gordos’ que
> deixaram passar um /16 no lugar de um /22 ou /20.
>
> Há outras possibilidades, claro.
> Mas não me aprofundei o suficiente para afirmar nada além do que vi.
>
> E posso garantir que não estou falando ‘leiguices’.
>
> Raphael Pontara
> +55 27 99252-5555 (Claro)
> +55 27 99998-6904 (Vivo)
>
> Em 27 de jul de 2018, à(s) 20:20, Fred Pedrisa <pedrisa at hyperfilter.com>
> escreveu:
>
> > Aí depende muito... Se forem conexões TCP capazes de realizar o 3WH, vão
> realmente ser maquinas comprometidas, não se tratando de spoofing (neste
> caso, como eles mesmos disseram, brute forcing).
> >
> > IPs Spoofados não conseguem fechar o Handshake do TCP jamais. :)
> >
> >> On 27/07/2018 14:02, Antonio Carlos Pina wrote:
> >> Pessoal, só não esqueçam que em se tratando de ataque DDoS, os IPs podem
> >> ser esses mas também podem não ser. Ataques spoofing são muito mais
> comuns.
> >> ou seja, o ataque pode estar vindo da Coreia do Norte com os IPs do UOL
> e
> >> não se pode acreditar piamente que é do UOL. Pode falar com o
> administrador
> >> mas entendendo que pode não ser real.
> >>
> >> Abs
> >>
> >> Em 27 de julho de 2018 13:20, Rafael Galdino <
> sup.rafaelgaldino at gmail.com>
> >> escreveu:
> >>
> >>> meu xará Raphael. já tenho um caso parecido cliente com o 143.255.x.x
> ai
> >>> tem um cara no mesmo octeto, digo o primeiro e segundo, o cara é
> >>> diretoooooo telnet e ssh para a rede desse meu cliente, já consegui
> ate o
> >>> WhatsApp do dono, reportei, expliquei, mandei print. sabe a resposta?
> >>>
> >>> vou verificar...
> >>> ai mando depois perguntando e ai conseguiu bloquear?
> >>>
> >>> resposta: .... .... .......
> >>>
> >>> enfim o povo acha que ter provedor é: ping abrir facebook e já era
> >>>
> >>> Em sex, 27 de jul de 2018 às 13:10, Raphael Pontara <
> pontara at outlook.com>
> >>> escreveu:
> >>>
> >>>> Thiago, só aproveitando o gancho.
> >>>>
> >>>> Eu gostaria de relatar que percebi um comportamento parecido quando
> ativo
> >>>> assinantes de link dedicado nos provedores que atendo.
> >>>>
> >>>> Curiosamente, clientes residenciais - que se conectam por PPPoE - não
> >>>> apresentam a mesma dinâmica.
> >>>>
> >>>> Trata-se do seguinte:
> >>>> Ao ativar o cliente corporativo com IP estático na interface de
> acesso,
> >>>> basta estabelecer rota default no cliente e o tráfego da porta “TOPA”
> >>>> (limitado ao controle de banda setado no cliente) no sentido de upload
> >>> (do
> >>>> cliente para fora) por aproximadamente 10 segundos
> >>>>
> >>>> Imediatamente também ocorre brute-force, vindo de IPs com o primeiro
> e o
> >>>> segundo octetos IGUAIS aos do cliente ativado (obviamente, o terceiro
> e o
> >>>> quarto são diferente).
> >>>>
> >>>> Isso me chamou a atenção e resolvi coletar algumas informações.
> >>>>
> >>>> Para minha surpresa, a maioria dos ASes que realizam brute-force (com
> o
> >>> 1º
> >>>> e 2º octetos iguais ao do AS atacado), são do Brasil e de fato estavam
> >>>> comprometidos.
> >>>>
> >>>> Não consegui - ainda - coletar o que sai do cliente recém ativado.
> >>>> Na próxima ativação eu pretendo coletar com o wireshark ou outra
> >>>> ferramenta.
> >>>>
> >>>> Raphael Pontara
> >>>> +55 27 99252-5555 (Claro)
> >>>> +55 27 99998-6904 (Vivo)
> >>>>
> >>>> Em 27 de jul de 2018, à(s) 09:50, THIAGO AYUB <thiago.ayub at upx.com>
> >>>> escreveu:
> >>>>
> >>>>> Olá Rafael,
> >>>>>
> >>>>>
> >>>>> Esse assunto é off-topic para a lista CAIU e mas é on-topic na GTER.
> >>>>>
> >>>>> Isso acontece o tempo todo. Já há alguns anos quando acompanho algum
> >>>>> prefixo que nunca foi anunciado na tabela global de roteamento assim
> >>> que
> >>>>> ele o é pela primeira vez, em segundos (5 ou menos) já vejo brute
> force
> >>>>> chegar. É tão certeiro que suponho que exista sim gente monitorando
> os
> >>>>> anúncios na tabela global para focar brute force em sistemas
> autônomos
> >>>>> recém-inaugurados, mal configurados etc.
> >>>>>
> >>>>> A conduta correta é reportar todos os casos. Fazemos isso para os
> >>>> endereços
> >>>>> que constam no WHOIS dos IPs (e sinto falta de um explícito contato
> de
> >>>>> ABUSE nos registros brasileiros). Somente neste ano cerca de 26% dos
> AS
> >>>>> brasileiros já receberam algum abuse report nosso. Mas a esmagadora
> >>>> maioria
> >>>>> faz pouco caso, ignora, não responde, não toma providências. Seguem a
> >>>>> errônea filosofia do "Se meu cliente não tá reclamando, não tenho que
> >>>> tomar
> >>>>> providências.".
> >>>>>
> >>>>> Diante disso, passamos a reportar os casos para várias blacklists as
> >>>> quais
> >>>>> temos convênio para relatar incidentes, como por exemplo a
> >>>>> https://www.abuseipdb.com/user/15015 que é patrocinada pela
> >>>> DigitalOcean.
> >>>>> Temos obtido com essas inclusões em blacklists os melhores
> resultados,
> >>> já
> >>>>> que os IPs citados param de conseguir acessar servidores de IRC,
> >>> passam a
> >>>>> ter e-mails rejeitados, não entram mais em servidores de jogos e até
> >>>> alguns
> >>>>> tribunais de justiça brasileiros rejeitam o login de IPs nessas
> >>>> blacklists.
> >>>>> Aí sim os clientes do ISP/datacenter começam a reclamar e o
> responsável
> >>>>> pelo AS toma as devidas providências.
> >>>>>
> >>>>> Abraços,
> >>>>>
> >>>>>
> >>>>>
> >>>>> *Thiago Ayub *| Network Director
> >>>>>
> >>>>> +55 (11) 2626-3952 <(11)%202626-3952>
> >>>>> upx.com
> >>>>>
> >>>>>
> >>>>> 2018-07-26 3:04 GMT-03:00 Rafael VOlpe TI <rafaelvolpeti at gmail.com>:
> >>>>>
> >>>>>> Bom dia galera,
> >>>>>>
> >>>>>> mais alguém tem enfrentado ataques DDos (Geralmente em Webservers),
> em
> >>>>>> LARGA escala (mais de 5000 ips nacionais - Vivo/Claro/Ctbc) para
> >>>> aplicações
> >>>>>> WEB?
> >>>>>>
> >>>>>> Rapaz, eu tenho recebido muito, mais muito ataque de bots partindo
> >>>> desses
> >>>>>> endereços.
> >>>>>> Geralmente atacam WEB/Banco/Ftp, tudo junto.
> >>>>>>
> >>>>>> Mais alguém tem enfrentado isso? As operadoras tem feito algo sobre
> >>>> isso?
> >>>>>> Abraços.
> >>>>>> _______________________________________________
> >>>>>> caiu mailing list
> >>>>>> caiu at eng.registro.br
> >>>>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>>>
> >>>>>>
> >>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>>>
> >>>>>> https://eng.registro.br/mailman/options/caiu
> >>>>>>
> >>>>> --
> >>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>> --
> >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>>
> >>> --
> >>>
> >>> *Rafael Galdino*
> >>>
> >>>
> >>> *      Analista de redes*
> >>>
> >>>        Inoc: 265147*100
> >>>
> >>>       Phone:
> >>>
> >>> *+55 (83) 99600-0242*
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > Fred Pedrisa - CEO/CTO
> > HyperFilter DDoS Protection Solutions
> > A FNXTEC, Company.
> > https://www.hyperfilter.com
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list