[GTER] AS267056 Hijack do Prefixo 138.99.161.0/24

Tales Rodarte talesrodarte at gmail.com
Thu Aug 20 09:18:32 -03 2020


Aproveitando a treta, digo thread.

Por exemplo:

Cliente anuncia um prefixo menos específico. Este prefixo é atacado.
O tráfego malicioso passa pelo upstream no qual o prefixo está 
anunciado, realiza a filtragem, marca com no-export-all e encaminhar 
para plataforma de mitigação.

Entendo que se o upstream fornece o serviço de filtragem, ele força o 
anuncio mais específico para puxar o maior tráfego possível.

A pergunta é:
Neste cenário é realmente necessário rescrever o as-path (considerando 
que o sistema de mitigação origina o prefixo) e/ou anunciar sempre mais 
específico ?
Só de reescrever o as-path com o asn local já quebra vários mecanismos 
de validação.

Parece que fazer algo assim cria espaço para mais problemas do que solução.


--

Tales Costa

Em 20/08/2020 08:51, Elizandro Pacheco [ Pacheco Tecnologia ] escreveu:
> E pra variar, basta dar uma consultada no LG da Algar neste exato momento
> pra ver que esses caras vazaram o prefixo DE NOVO!
>
> É mole?
>
> Elizandro Pacheco
>
> Em qua, 19 de ago de 2020 21:53, Bruno Cabral <bruno at openline.com.br>
> escreveu:
>
>> A desculpa padrao que sempre escuto é "rompimento duplo do anel de
>> fibra"...
>>
>>
>> ------------------------------
>>
>> Agora é só criar uma fórmula mágica pra explicar pros clientes.
>>
>> Agradeço a todas mensagens de ajuda no privado. Muito obrigado mesmo!
>>
>>
>> Forte abraço,
>>
>> Elizandro Pacheco
>>
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list