[GTER] HIJACK de prefixo...
Alexandre C. Fonseca
alexandre at specialist.srv.br
Wed Nov 6 09:59:28 -03 2019
Só para constar (desculpe o flood), eles responderam que:
/"Conforme mencionamos via Whatsapp, ocorreu que o bloco de vocês estava
configurado para nossa ferramenta de mitigação de ataques DDoS e por
isso ocorreu a manipulação desse /24. Retiramos e peço desculpas pela
falha. Agora recebemos apenas alertas sobre ataques e pedimos para que
em momentos de ataques nos ligarem para tomarmos em conjunto as melhores
ações para sanar o problema.//Foi um ataque foi UDP, na ordem de 200k
pacotes/segundo as 20:59 e as 11:01."//
///
- Porem eu nunca contratei isso com eles;
- Se somente eles fizessem nosso transito, até "seria" uma ajuda "se" eu
tivesse contratado, como como tenho outros transitos, eles acabam
desviando todo o tráfego dos demais para eles;
- Eu mesmo já tenho ferramentas internas para tratar isso, tanto que
durante o ataque aumentou o uso dos demais links (antes deles atuarem)
mas isso morreu logo no meu core, nao chegando nos servidores ou nos
clientes;
- o ataque (ao meu ver) foi direcionado a um ip e nao ao bloco todo, ao
fazerem isso, eles derrubaram todos meus clientes desse bloco /24
Complicado neh?
Att,
On 06/11/2019 00:00, Alexandre C. Fonseca wrote:
> Boa noite srs,
>
> Apenas para compartilhar com vcs, é a segunda vez em menos de 30 dias
> que o AS 53158 da Netturbo faz isso com prefixo nossos ou de algum de
> nossos clientes.
>
> Dias atras eles deixaram meu cliente totalmente fora do ar ao anunciar
> o bloco todo deles como sendo da netturbo, e agora estão anunciando um
> /24 meu (que eu sequer anuncio ele tao especifico assim, eu anuncio o
> /20 e para alguns casos o /21 apenas), o que acaba desviando todo o
> trafego desse /24 para eles..
>
> Eh mole?
>
> Já acionei eles mas estou "no aguardo"...
>
> O que mais eu poderia fazer?! B.O.? Com a LGPD ai, caso algo ocorra
> nesse período, preciso me resguardar... O que vcs acham/recomendam
> fazer nessa hora?
>
> Att,
>
> -------- Forwarded Message --------
> Subject: BGPmon.net Notification
> Date: Wed, 6 Nov 2019 00:39:30 +0000 (UTC)
> From: BGPmon Alert <info at bgpmon.net>
> To: alexandre at specialist.srv.br
>
>
>
> You received this email because you are subscribed to BGPmon.net.
> For more details about these updates please visit:
> https://portal.bgpmon.net/myalerts.php
>
> ====================================================================
> Possible Prefix Hijack (Code: 10)
> ====================================================================
> Your prefix: 187.103.208.0/20:
> Prefix Description: Maxiweb Internet Provider - IPv4 Block 2
> Update time: 2019-11-06 00:32 (UTC)
> Detected by #peers: 2
> Detected prefix: 187.103.219.0/24
> *Announced by: AS53158 (Net Turbo Telecom, BR)*
> Upstream AS: AS3223 (VOXILITY, GB)
> *ASpath: 63297 6327 174 6762 3223 53158 *
> Alert
> details:https://portal.bgpmon.net/alerts.php?details&alert_id=90565808
> Mark as false alert:https://portal.bgpmon.net/fp.php?aid=90565808
>
>
> --------------------------------------------------------------
> *for questions regarding the change code or other question, please see:
> https://portal.bgpmon.net/faq.php
>
>
> Latest BGPmon news:http://bgpmon.net/blog/
> * Popular Destinations rerouted to Russia
> * Today’s BGP leak in Brazil
> * BGP leak causing Internet outages in Japan and beyond.
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list