[GTER] [caiu] DDos em massa partindo de IPS nacionais
Rubens Kuhl
rubensk at gmail.com
Sat Jul 28 11:10:38 -03 2018
Há 3 modos de ataque de negação de serviço:
- IPs reais. É o mais usado por ferramentas como LOIC.
- IP origem spoofado, IP destino vítima. Muito usado para SYN Floods.
- IP origem vítima, IP destino refletor. Muito usado com DNS, SSDP, NTP e
demais protocolos com respostas de amplificação.
Qual é o mais comum é algo que depende da época... os ataques do Anonymous
eram quase sempre de IPs reais, mas a descoberta de métodos de amplificação
tem tornado estes últimos mais comuns.
Nos ataques mais sofisticados, aqueles que são bem "grandes" no adjetivo em
Inglês, o atacante vai tentando cada um dos métodos até atingir o
objetivo... então não adianta se focar em apenas um desses 3 modos.
Rubens
On Fri, Jul 27, 2018 at 6:16 PM Antonio Carlos Pina <
antoniocarlospina at gmail.com> wrote:
> Pessoal, só não esqueçam que em se tratando de ataque DDoS, os IPs podem
> ser esses mas também podem não ser. Ataques spoofing são muito mais comuns.
> ou seja, o ataque pode estar vindo da Coreia do Norte com os IPs do UOL e
> não se pode acreditar piamente que é do UOL. Pode falar com o administrador
> mas entendendo que pode não ser real.
>
> Abs
>
> Em 27 de julho de 2018 13:20, Rafael Galdino <sup.rafaelgaldino at gmail.com>
> escreveu:
>
> > meu xará Raphael. já tenho um caso parecido cliente com o 143.255.x.x ai
> > tem um cara no mesmo octeto, digo o primeiro e segundo, o cara é
> > diretoooooo telnet e ssh para a rede desse meu cliente, já consegui ate o
> > WhatsApp do dono, reportei, expliquei, mandei print. sabe a resposta?
> >
> > vou verificar...
> > ai mando depois perguntando e ai conseguiu bloquear?
> >
> > resposta: .... .... .......
> >
> > enfim o povo acha que ter provedor é: ping abrir facebook e já era
> >
> > Em sex, 27 de jul de 2018 às 13:10, Raphael Pontara <pontara at outlook.com
> >
> > escreveu:
> >
> > > Thiago, só aproveitando o gancho.
> > >
> > > Eu gostaria de relatar que percebi um comportamento parecido quando
> ativo
> > > assinantes de link dedicado nos provedores que atendo.
> > >
> > > Curiosamente, clientes residenciais - que se conectam por PPPoE - não
> > > apresentam a mesma dinâmica.
> > >
> > > Trata-se do seguinte:
> > > Ao ativar o cliente corporativo com IP estático na interface de acesso,
> > > basta estabelecer rota default no cliente e o tráfego da porta “TOPA”
> > > (limitado ao controle de banda setado no cliente) no sentido de upload
> > (do
> > > cliente para fora) por aproximadamente 10 segundos
> > >
> > > Imediatamente também ocorre brute-force, vindo de IPs com o primeiro e
> o
> > > segundo octetos IGUAIS aos do cliente ativado (obviamente, o terceiro
> e o
> > > quarto são diferente).
> > >
> > > Isso me chamou a atenção e resolvi coletar algumas informações.
> > >
> > > Para minha surpresa, a maioria dos ASes que realizam brute-force (com o
> > 1º
> > > e 2º octetos iguais ao do AS atacado), são do Brasil e de fato estavam
> > > comprometidos.
> > >
> > > Não consegui - ainda - coletar o que sai do cliente recém ativado.
> > > Na próxima ativação eu pretendo coletar com o wireshark ou outra
> > > ferramenta.
> > >
> > > Raphael Pontara
> > > +55 27 99252-5555 (Claro)
> > > +55 27 99998-6904 (Vivo)
> > >
> > > Em 27 de jul de 2018, à(s) 09:50, THIAGO AYUB <thiago.ayub at upx.com>
> > > escreveu:
> > >
> > > > Olá Rafael,
> > > >
> > > >
> > > > Esse assunto é off-topic para a lista CAIU e mas é on-topic na GTER.
> > > >
> > > > Isso acontece o tempo todo. Já há alguns anos quando acompanho algum
> > > > prefixo que nunca foi anunciado na tabela global de roteamento assim
> > que
> > > > ele o é pela primeira vez, em segundos (5 ou menos) já vejo brute
> force
> > > > chegar. É tão certeiro que suponho que exista sim gente monitorando
> os
> > > > anúncios na tabela global para focar brute force em sistemas
> autônomos
> > > > recém-inaugurados, mal configurados etc.
> > > >
> > > > A conduta correta é reportar todos os casos. Fazemos isso para os
> > > endereços
> > > > que constam no WHOIS dos IPs (e sinto falta de um explícito contato
> de
> > > > ABUSE nos registros brasileiros). Somente neste ano cerca de 26% dos
> AS
> > > > brasileiros já receberam algum abuse report nosso. Mas a esmagadora
> > > maioria
> > > > faz pouco caso, ignora, não responde, não toma providências. Seguem a
> > > > errônea filosofia do "Se meu cliente não tá reclamando, não tenho que
> > > tomar
> > > > providências.".
> > > >
> > > > Diante disso, passamos a reportar os casos para várias blacklists as
> > > quais
> > > > temos convênio para relatar incidentes, como por exemplo a
> > > > https://www.abuseipdb.com/user/15015 que é patrocinada pela
> > > DigitalOcean.
> > > > Temos obtido com essas inclusões em blacklists os melhores
> resultados,
> > já
> > > > que os IPs citados param de conseguir acessar servidores de IRC,
> > passam a
> > > > ter e-mails rejeitados, não entram mais em servidores de jogos e até
> > > alguns
> > > > tribunais de justiça brasileiros rejeitam o login de IPs nessas
> > > blacklists.
> > > > Aí sim os clientes do ISP/datacenter começam a reclamar e o
> responsável
> > > > pelo AS toma as devidas providências.
> > > >
> > > > Abraços,
> > > >
> > > >
> > > >
> > > > *Thiago Ayub *| Network Director
> > > >
> > > > +55 (11) 2626-3952 <(11)%202626-3952>
> > > > upx.com
> > > >
> > > >
> > > > 2018-07-26 3:04 GMT-03:00 Rafael VOlpe TI <rafaelvolpeti at gmail.com>:
> > > >
> > > >> Bom dia galera,
> > > >>
> > > >> mais alguém tem enfrentado ataques DDos (Geralmente em Webservers),
> em
> > > >> LARGA escala (mais de 5000 ips nacionais - Vivo/Claro/Ctbc) para
> > > aplicações
> > > >> WEB?
> > > >>
> > > >> Rapaz, eu tenho recebido muito, mais muito ataque de bots partindo
> > > desses
> > > >> endereços.
> > > >> Geralmente atacam WEB/Banco/Ftp, tudo junto.
> > > >>
> > > >> Mais alguém tem enfrentado isso? As operadoras tem feito algo sobre
> > > isso?
> > > >>
> > > >> Abraços.
> > > >> _______________________________________________
> > > >> caiu mailing list
> > > >> caiu at eng.registro.br
> > > >> https://eng.registro.br/mailman/listinfo/caiu
> > > >>
> > > >>
> > > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > > >>
> > > >> https://eng.registro.br/mailman/options/caiu
> > > >>
> > > > --
> > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> > --
> >
> > *Rafael Galdino*
> >
> >
> > * Analista de redes*
> >
> > Inoc: 265147*100
> >
> > Phone:
> >
> > *+55 (83) 99600-0242*
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list