[GTER] Relatório Spoofer para GTER - Out/2018

Douglas Fischer fischerdouglas at gmail.com
Mon Nov 12 17:16:43 -02 2018


Não resolve Cristofer!

P.S.: NAT é coisa do capeta!

Imagine uma rede interna com IP192.168.1.0/24.
Agora imagine uma maquina comprometida nessa rede interna.
Essa maquina está soltando pacotes com IP 198.41.0.4(Esse é o A dos root
servers).

Aí o CPE do cliente está com aquele NAT porco e maroto, que pega qualquer
pacote que chegue pela LAN, e traduz para o IP da WAN.

Esses pacote vão passar pelo B-RAS como se fosse o IP do CPE.

Dependendo do tipo do ataque uma botnet vá fazer, mesmo o uRP-Filter em
modo Strict nos B-RAS não resolve.
(Um exemplo simplezinho seria ataque de syn flood)

Capisco?


Lógico que nesse cenário, diferentemente do spoofing padrão, torna-se
possível identificar a origem, e comunicar o gerador desse tráfego
malicioso.
Mas pensa no trabalhão que daria isso!?!?!


Em seg, 12 de nov de 2018 às 16:50, Cristofer Velloso <
cristofervellosol at gmail.com> escreveu:

> um RPF strict no BRAS resolve  ;)
> []os
> Cristofer
> Em Seg, 2018-11-12 às 16:17 +0000, Gabriel Mineiro escreveu:
> > Referente as CPEs que não implementam RP_Filter e fazem tradução de
> > tudo que bate na LAN, existe algo que possamos fazer além de cobrar
> > do fabricante?
> >
> > Gabriel Mineiro
> >
> > -----Mensagem original-----
> > De: gter <gter-bounces at eng.registro.br> Em nome de Douglas Fischer
> > Enviada em: segunda-feira, 12 de novembro de 2018 13:36
> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.r
> > egistro.br>
> > Assunto: Re: [GTER] Relatório Spoofer para GTER - Out/2018
> >
> > Alô galera...
> >
> > Fiquei feliz de ver alguns amigos saindo da lista de Emissores de
> > Spoofing.
> > FELIZ MESMO!
> >
> > Resolvi tentar dar uma motivada na galera para que eles façam a lição
> > de casa e eliminem as possibilidades de Spoofing em suas casas.
> >
> > https://www.facebook.com/douglasfernandofischer/posts/197299607281531
> > 8
> >
> > Seria bem legal se vocês fizessem algo parecido em suas redes de
> > contatos.
> >
> > Abraço!
> >
> >
> >
> > Em sex, 9 de nov de 2018 às 18:14, CAIDA Spoofer Project < spoofer-in
> > fo at caida.org> escreveu:
> >
> > >
> > > Em resposta ao feedback de comunidades de segurança operacional, o
> > > projeto de validação de medidas de endereço de origem do CAIDA
> > > (https://spoofer.caida.org) está automaticamente gerando
> > > relatórios
> > > mensais de prefixos BGP originados por ASes os quais recebemos
> > > pacotes
> > > com endereço de origem spoofed (alterado).
> > > Estamos publicando esses relatórios para garantir que essa
> > > informação
> > > alcance contatos operacionais nesses ASes.
> > >
> > > Esse relatório resume testes conduzidos no bra.
> > >
> > > Correções de configurações inferidas durante Out/2018:
> > > Nome do ASN                                           Corrigido em
> > >  17222 Mundivox LTDA                                  2018-10-01
> > >  28130 CERTTO TELECOMUNICAÇÕES LTDA                   2018-10-02
> > > 267460 ATILA BARBOSA DOS SANTOS EIREL                 2018-10-22
> > >
> > > Mais informações sobre as correções inferidas estão disponíveis em:
> > > https://spoofer.caida.org/remedy.php
> > >
> > > Problemas de Validação de Endereço de Origem inferidos em Out/2018:
> > > Nome do ASN                            Primeiro registro  Último
> > > registro
> > >   8167 Brasil Telecom S/A - Filial Di     2017-05-12        2018-
> > > 10-26
> > >  18881 TELEFÔNICA BRASIL S.A              2017-05-18        2018-
> > > 10-31
> > >   7738 Telemar Norte Leste S.A.           2017-07-23        2018-
> > > 10-22
> > > 262462 ARANET COMUNICAÇÃO LTDA            2018-03-20        2018-
> > > 10-29
> > >  28656 Suporte Tecnologia e Instalaç     2018-03-21        2018-10-
> > > 25
> > >  28573 CLARO S.A.                         2018-04-23        2018-
> > > 10-21
> > > 262288 Brasil Radiowave Ltda-ME           2018-05-17        2018-
> > > 10-25
> > > 262485 S.C. RIO TELECOMUNICACOES E IN     2018-05-17        2018-
> > > 10-26
> > >  52866 IVeloz Telecom Serv. em Teleco     2018-05-17        2018-
> > > 10-14
> > >  28186 ITS TELECOMUNICAÇÕES LTDA          2018-05-24        2018-
> > > 10-29
> > > 266280 BERTOLDI & VENANCIO INTERNET V     2018-06-10        2018-
> > > 10-31
> > >  52568 B. & S. COMERCIO E SERVICOS LT     2018-07-09        2018-
> > > 10-22
> > >  52888 UNIVERSIDADE FEDERAL DE SAO CA     2018-07-11        2018-
> > > 10-23
> > > 262323 STAR CONECT TELECOM LTDA           2018-07-20        2018-
> > > 10-28
> > >  53137 TCA Internet                       2018-07-25        2018-
> > > 10-11
> > >  52625 X-PC Telecom                       2018-08-01        2018-
> > > 10-30
> > > 262678 CMD Informatica Ltda               2018-08-14        2018-
> > > 10-16
> > > 267460 ATILA BARBOSA DOS SANTOS EIREL     2018-08-20        2018-
> > > 10-14
> > > 263327 ONLINE SERVICOS DE TELECOMUNIC     2018-08-24        2018-
> > > 10-27
> > >  52604 V + NET INTERNET BANDA LARGA       2018-09-10        2018-
> > > 10-29
> > > 265118 Diego Kremer dos Santos ME         2018-09-22        2018-
> > > 10-03
> > >  28165 Wireless Comm Services LTDA        2018-09-26        2018-
> > > 10-16
> > > 262808 Brasilnet Telecomunicações L     2018-09-30        2018-10-
> > > 08
> > > 262972 Info Sete Telecom                  2018-10-01        2018-
> > > 10-01
> > >  52637 Station Net Provedor de Intern     2018-10-02        2018-
> > > 10-29
> > >  19763 Fundacao Universidade do Vale      2018-10-02        2018-
> > > 10-02
> > > 263631 Via Link Telecomunicacoes          2018-10-03        2018-
> > > 10-23
> > > 263567 FIBER ONE DO BRASIL LTDA ME        2018-10-09        2018-
> > > 10-09
> > > 265013 Empresarial Net Banda Larga LT     2018-10-29        2018-
> > > 10-29
> > >
> > > Mais informações sobre esses testes e de onde recebemos pacotes
> > > alterados estão disponíveis em:
> > > https://spoofer.caida.org/recent_tests.php?country_include=bra&no_b
> > > loc
> > > k=1
> > >
> > > Por favor, envie quaisquer sugestões ou feedback para
> > > spoofer-info at caida.org
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list