[GTER] [caiu] DDos em massa partindo de IPS nacionais

Raphael Pontara pontara at outlook.com
Sat Jul 28 00:17:11 -03 2018


Antonio Carlos,

Curiosamente, coletei cerca de 8 mil IPs durante ataques DDoS (já não estou mais falando de brute-forcing) e percebi um número ‘Kabalístico’ (é assim que se escreve?) na quantidade de atacantes.

Destes - aproximadamente - 8k, digamos que uns 120~160 eram de ASes brasileiros.

Os ataques eram de SSDP, MS-SQL, DNS e NTP.

Adivinhe!

Uma query no banco MS-SQL e...
“Resposta”.
Uma dig no DNS e...
“Resposta”.
Um discovery no SSDP e...
“Resposta”.

Bem, notifiquei os ‘vulneráveis’, os quase 80% respondeu e tratou o problema apontado.

‘Milagrosamente’, os ataques que vinham de ~8k origens, passaram a vir de ~1200, às vezes mais, às vezes menos.

Mas diminuíram quaaaaase que proporcionalmente.

Seriam então ataques de IPs spoofados?

Com toda certeza, SIM.

Os ASes notificados eram usados para spoofar?

Provavelmente!
Afinal, os ataques também tiveram a intensidade reduzida, quase que proporcionalmente.



Raphael Pontara
+55 27 99252-5555 (Claro)
+55 27 99998-6904 (Vivo)

Em 27 de jul de 2018, à(s) 18:16, Antonio Carlos Pina <antoniocarlospina at gmail.com> escreveu:

> Pessoal, só não esqueçam que em se tratando de ataque DDoS, os IPs podem
> ser esses mas também podem não ser. Ataques spoofing são muito mais comuns.
> ou seja, o ataque pode estar vindo da Coreia do Norte com os IPs do UOL e
> não se pode acreditar piamente que é do UOL. Pode falar com o administrador
> mas entendendo que pode não ser real.
> 
> Abs
> 
> Em 27 de julho de 2018 13:20, Rafael Galdino <sup.rafaelgaldino at gmail.com>
> escreveu:
> 
>> meu xará Raphael. já tenho um caso parecido cliente com o 143.255.x.x ai
>> tem um cara no mesmo octeto, digo o primeiro e segundo, o cara é
>> diretoooooo telnet e ssh para a rede desse meu cliente, já consegui ate o
>> WhatsApp do dono, reportei, expliquei, mandei print. sabe a resposta?
>> 
>> vou verificar...
>> ai mando depois perguntando e ai conseguiu bloquear?
>> 
>> resposta: .... .... .......
>> 
>> enfim o povo acha que ter provedor é: ping abrir facebook e já era
>> 
>> Em sex, 27 de jul de 2018 às 13:10, Raphael Pontara <pontara at outlook.com>
>> escreveu:
>> 
>>> Thiago, só aproveitando o gancho.
>>> 
>>> Eu gostaria de relatar que percebi um comportamento parecido quando ativo
>>> assinantes de link dedicado nos provedores que atendo.
>>> 
>>> Curiosamente, clientes residenciais - que se conectam por PPPoE - não
>>> apresentam a mesma dinâmica.
>>> 
>>> Trata-se do seguinte:
>>> Ao ativar o cliente corporativo com IP estático na interface de acesso,
>>> basta estabelecer rota default no cliente e o tráfego da porta “TOPA”
>>> (limitado ao controle de banda setado no cliente) no sentido de upload
>> (do
>>> cliente para fora) por aproximadamente 10 segundos
>>> 
>>> Imediatamente também ocorre brute-force, vindo de IPs com o primeiro e o
>>> segundo octetos IGUAIS aos do cliente ativado (obviamente, o terceiro e o
>>> quarto são diferente).
>>> 
>>> Isso me chamou a atenção e resolvi coletar algumas informações.
>>> 
>>> Para minha surpresa, a maioria dos ASes que realizam brute-force (com o
>>>>> e 2º octetos iguais ao do AS atacado), são do Brasil e de fato estavam
>>> comprometidos.
>>> 
>>> Não consegui - ainda - coletar o que sai do cliente recém ativado.
>>> Na próxima ativação eu pretendo coletar com o wireshark ou outra
>>> ferramenta.
>>> 
>>> Raphael Pontara
>>> +55 27 99252-5555 (Claro)
>>> +55 27 99998-6904 (Vivo)
>>> 
>>> Em 27 de jul de 2018, à(s) 09:50, THIAGO AYUB <thiago.ayub at upx.com>
>>> escreveu:
>>> 
>>>> Olá Rafael,
>>>> 
>>>> 
>>>> Esse assunto é off-topic para a lista CAIU e mas é on-topic na GTER.
>>>> 
>>>> Isso acontece o tempo todo. Já há alguns anos quando acompanho algum
>>>> prefixo que nunca foi anunciado na tabela global de roteamento assim
>> que
>>>> ele o é pela primeira vez, em segundos (5 ou menos) já vejo brute force
>>>> chegar. É tão certeiro que suponho que exista sim gente monitorando os
>>>> anúncios na tabela global para focar brute force em sistemas autônomos
>>>> recém-inaugurados, mal configurados etc.
>>>> 
>>>> A conduta correta é reportar todos os casos. Fazemos isso para os
>>> endereços
>>>> que constam no WHOIS dos IPs (e sinto falta de um explícito contato de
>>>> ABUSE nos registros brasileiros). Somente neste ano cerca de 26% dos AS
>>>> brasileiros já receberam algum abuse report nosso. Mas a esmagadora
>>> maioria
>>>> faz pouco caso, ignora, não responde, não toma providências. Seguem a
>>>> errônea filosofia do "Se meu cliente não tá reclamando, não tenho que
>>> tomar
>>>> providências.".
>>>> 
>>>> Diante disso, passamos a reportar os casos para várias blacklists as
>>> quais
>>>> temos convênio para relatar incidentes, como por exemplo a
>>>> https://www.abuseipdb.com/user/15015 que é patrocinada pela
>>> DigitalOcean.
>>>> Temos obtido com essas inclusões em blacklists os melhores resultados,
>>>>>> que os IPs citados param de conseguir acessar servidores de IRC,
>> passam a
>>>> ter e-mails rejeitados, não entram mais em servidores de jogos e até
>>> alguns
>>>> tribunais de justiça brasileiros rejeitam o login de IPs nessas
>>> blacklists.
>>>> Aí sim os clientes do ISP/datacenter começam a reclamar e o responsável
>>>> pelo AS toma as devidas providências.
>>>> 
>>>> Abraços,
>>>> 
>>>> 
>>>> 
>>>> *Thiago Ayub *| Network Director
>>>> 
>>>> +55 (11) 2626-3952 <(11)%202626-3952>
>>>> upx.com
>>>> 
>>>> 
>>>> 2018-07-26 3:04 GMT-03:00 Rafael VOlpe TI <rafaelvolpeti at gmail.com>:
>>>> 
>>>>> Bom dia galera,
>>>>> 
>>>>> mais alguém tem enfrentado ataques DDos (Geralmente em Webservers), em
>>>>> LARGA escala (mais de 5000 ips nacionais - Vivo/Claro/Ctbc) para
>>> aplicações
>>>>> WEB?
>>>>> 
>>>>> Rapaz, eu tenho recebido muito, mais muito ataque de bots partindo
>>> desses
>>>>> endereços.
>>>>> Geralmente atacam WEB/Banco/Ftp, tudo junto.
>>>>> 
>>>>> Mais alguém tem enfrentado isso? As operadoras tem feito algo sobre
>>> isso?
>>>>> 
>>>>> Abraços.
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu at eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>> 
>>>>> 
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>> 
>>>>> https://eng.registro.br/mailman/options/caiu
>>>>> 
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> 
>> 
>> 
>> --
>> 
>> *Rafael Galdino*
>> 
>> 
>> *      Analista de redes*
>> 
>>       Inoc: 265147*100
>> 
>>      Phone:
>> 
>> *+55 (83) 99600-0242*
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter


More information about the gter mailing list