[GTER] HIJACK de prefixo...

Alexandre C. Fonseca alexandre at specialist.srv.br
Wed Nov 6 09:59:28 -03 2019


Só para constar (desculpe o flood), eles responderam que:

/"Conforme mencionamos via Whatsapp, ocorreu que o bloco de vocês estava 
configurado para nossa ferramenta de mitigação de ataques DDoS e por 
isso ocorreu a manipulação desse /24. Retiramos e peço desculpas pela 
falha. Agora recebemos apenas alertas sobre ataques e pedimos para que 
em momentos de ataques nos ligarem para tomarmos em conjunto as melhores 
ações para sanar o problema.//Foi um ataque foi UDP, na ordem de 200k 
pacotes/segundo as 20:59 e as 11:01."//
///

- Porem eu nunca contratei isso com eles;
- Se somente eles fizessem nosso transito, até "seria" uma ajuda "se" eu 
tivesse contratado, como como tenho outros transitos, eles acabam 
desviando todo o tráfego dos demais para eles;
- Eu mesmo já tenho ferramentas internas para tratar isso, tanto que 
durante o ataque aumentou o uso dos demais links (antes deles atuarem) 
mas isso morreu logo no meu core, nao chegando nos servidores ou nos 
clientes;
- o ataque (ao meu ver) foi direcionado a um ip e nao ao bloco todo, ao 
fazerem isso, eles derrubaram todos meus clientes desse bloco /24

Complicado neh?

Att,


On 06/11/2019 00:00, Alexandre C. Fonseca wrote:
> Boa noite srs,
>
> Apenas para compartilhar com vcs, é a segunda vez em menos de 30 dias 
> que o AS 53158 da Netturbo faz isso com prefixo nossos ou de algum de 
> nossos clientes.
>
> Dias atras eles deixaram meu cliente totalmente fora do ar ao anunciar 
> o bloco todo deles como sendo da netturbo, e agora estão anunciando um 
> /24 meu (que eu sequer anuncio ele tao especifico assim, eu anuncio o 
> /20 e para alguns casos o /21 apenas), o que acaba desviando todo o 
> trafego desse /24 para eles..
>
> Eh mole?
>
> Já acionei eles mas estou "no aguardo"...
>
> O que mais eu poderia fazer?! B.O.? Com a LGPD ai, caso algo ocorra 
> nesse período, preciso me resguardar... O que vcs acham/recomendam 
> fazer nessa hora?
>
> Att,
>
> -------- Forwarded Message --------
> Subject:     BGPmon.net Notification
> Date:     Wed, 6 Nov 2019 00:39:30 +0000 (UTC)
> From:     BGPmon Alert <info at bgpmon.net>
> To:     alexandre at specialist.srv.br
>
>
>
> You received this email because you are subscribed to BGPmon.net.
> For more details about these updates please visit:
> https://portal.bgpmon.net/myalerts.php
>
> ====================================================================
> Possible Prefix Hijack (Code: 10)
> ====================================================================
> Your prefix:          187.103.208.0/20:
> Prefix Description:   Maxiweb Internet Provider - IPv4 Block 2
> Update time:          2019-11-06 00:32 (UTC)
> Detected by #peers:   2
> Detected prefix:      187.103.219.0/24
> *Announced by: AS53158 (Net Turbo Telecom, BR)*
> Upstream AS:          AS3223 (VOXILITY, GB)
> *ASpath: 63297 6327 174 6762 3223 53158 *
> Alert 
> details:https://portal.bgpmon.net/alerts.php?details&alert_id=90565808
> Mark as false alert:https://portal.bgpmon.net/fp.php?aid=90565808
>
>
> --------------------------------------------------------------
>  *for questions regarding the change code or other question, please see:
> https://portal.bgpmon.net/faq.php
>
>
> Latest BGPmon news:http://bgpmon.net/blog/
>   * Popular Destinations rerouted to Russia
>   * Today’s BGP leak in Brazil
>   * BGP leak causing Internet outages in Japan and beyond.
>
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list