[GTER] CGNAT em blacklist

Douglas Fischer fischerdouglas at gmail.com
Fri Jan 15 11:11:19 -03 2021


Recomendo tomar cuidado com soluções "mágicas" que pegam essas informações
da Spamhauss transformam em rotas BGP para serem usada como Blackhole...

Essa soluções, nas grande maioria dos casos que vi implementadas, são mais
geradoras de problemas do que de soluções.

-> Estouro de FIB-TCAM
É bem fácil chegar a 500 mil rotas /32 vindas desses serviços.
Junta isso com a DFZ(FullRouting) e fica facinho de ter problemas com
estouro de FIB.

-> Falso Positivo - Positivo Velho sem descadastro
Já passei muita raiva com ISPs que implementaram essas soluções mágicas, e
não conseguiam acessar um monte de coisas...
Eram muito frequente que esse ISPs não conseguissem acessar determinados
IPs, mas que ao verificarmos os IPs estavam lisinhos, sem vulnerabilidades
expostas e sem infecção.
Isso acontecia porque no passado alguns desses IPs tinha caído em blacklist
por algum motivo. Tinham sido corrigidos, mas por algum motivo ainda
permaneciam anunciados para Blackhole.
E antes que digam que "o responsável do IP não pediu descadastro na
Spamhaus"... Sim esse tipo de problema já aconteceu.
Mas já peguei casos onde o descadastro tinha ocorrido há mais de 3 semanas
e continuava a blackhole mágica.

-> Todo tipo de problema no mesmo balaio.
Uma das dores que os ISPs enfrentavam ao implementar esse tipo de mecanismo
de BlackHole Mágica é que não era possível separar, por exemplo, o que eram
IPs classificados como Ownados por MIRAI de IPs com LDAP aberto...
(P.S.: Parece que isso andou melhorando recentemente, mas ainda dá dores de
cabeças pois quando um IP tá cadastrado em multiplas causas, uma
marcação sobrescreve a outra.)




Em qui., 14 de jan. de 2021 às 19:54, Cristine Hoepers via gter <
gter at eng.registro.br> escreveu:

> Oi Danton,
>
> On Thu, Jan 14, 2021 at 02:30:33PM -0300, Danton Nunes wrote:
> >
> > porta 8080? na origem ou no destino? estranho, porque a spamhaus só se
> > preocupa com portas de destino relacionadas de alguma forma ao envio de
> > email. (25,587,...)
>
> Infelizmente faz tempo que a SpamHaus está mapeando e bloqueando bem
> mais que spam/email.
>
> Eu já conversei pessoalmente com eles várias vezes, apontando que eles
> precisam ser mais transparentes no site e explicar isso melhor.  Hoje,
> mesmo estatísticas deles que falam que são de origem de spam, incluem
> botnets como Mirai, que não mandam spam.
>
> Nós temos acesso a detalhes das estatísticas de IPs alocados ao Brasil
> e os dados de hoje relativos a IPs do Brasil listados em blacklists
> estão distribuídos nas seguintes portas e botnets/ameaças
> respectivamente:
>
> ------------------------------------------------------------------------
> Top 15 portas na lista de IPs alocados ao Brasil no SpamHaus em
> 14/01/2021
>
> n.      porta         IPs
> 01      80/tcp        101998
> 02      25/tcp        17651
> 03      23/tcp        16378
> 04      2323/tcp      4781
> 05      445/tcp       4714
> 06      5555/tcp      3651
> 07      443/tcp       1615
> 08      143/tcp       1548
> 09      8080/tcp      352
> 10      16464/udp     183
> 11      81/tcp        93
> 12      22/tcp        88
> 13      110/tcp       86
> 14      16471/udp     79
> 15      16465/udp     76
> --      outras        147
> --      total         153440
>
> ------------------------------------------------------------------------
> Top 15 botnets/ameaças na lista de IPs alocados ao Brasil no SpamHaus
> em 14/01/2021 (nomes dados pelo SpamHaus)
>
> n.      botname         IPs
> 01      andromeda       55713
> 02      conficker       46851
> 03      iotmirai        24279
> 04      extortion       6789
> 05      gamut           3844
> 06      openrelay       3656
> 07      smb             3368
> 08      smtpauth        1672
> 09      imap            1548
> 10      iotmicrosoftds  1346
> 11      stealrat        542
> 12      iotwopbot       396
> 13      zeroaccess      378
> 14      emotet          355
> 15      iotscan         311
> --      outras          2474
> --      total           153522
> ------------------------------------------------------------------------
>
> Abraços,
>
> Cristine
> --
> Cristine Hoepers
> CERT.br/NIC.br
> https://cert.br/
>
> >
> > -- Danton
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>


-- 
Douglas Fernando Fischer
Engº de Controle e Automação


More information about the gter mailing list