[GTER] CGNAT em blacklist
Douglas Fischer
fischerdouglas at gmail.com
Fri Jan 15 11:11:19 -03 2021
Recomendo tomar cuidado com soluções "mágicas" que pegam essas informações
da Spamhauss transformam em rotas BGP para serem usada como Blackhole...
Essa soluções, nas grande maioria dos casos que vi implementadas, são mais
geradoras de problemas do que de soluções.
-> Estouro de FIB-TCAM
É bem fácil chegar a 500 mil rotas /32 vindas desses serviços.
Junta isso com a DFZ(FullRouting) e fica facinho de ter problemas com
estouro de FIB.
-> Falso Positivo - Positivo Velho sem descadastro
Já passei muita raiva com ISPs que implementaram essas soluções mágicas, e
não conseguiam acessar um monte de coisas...
Eram muito frequente que esse ISPs não conseguissem acessar determinados
IPs, mas que ao verificarmos os IPs estavam lisinhos, sem vulnerabilidades
expostas e sem infecção.
Isso acontecia porque no passado alguns desses IPs tinha caído em blacklist
por algum motivo. Tinham sido corrigidos, mas por algum motivo ainda
permaneciam anunciados para Blackhole.
E antes que digam que "o responsável do IP não pediu descadastro na
Spamhaus"... Sim esse tipo de problema já aconteceu.
Mas já peguei casos onde o descadastro tinha ocorrido há mais de 3 semanas
e continuava a blackhole mágica.
-> Todo tipo de problema no mesmo balaio.
Uma das dores que os ISPs enfrentavam ao implementar esse tipo de mecanismo
de BlackHole Mágica é que não era possível separar, por exemplo, o que eram
IPs classificados como Ownados por MIRAI de IPs com LDAP aberto...
(P.S.: Parece que isso andou melhorando recentemente, mas ainda dá dores de
cabeças pois quando um IP tá cadastrado em multiplas causas, uma
marcação sobrescreve a outra.)
Em qui., 14 de jan. de 2021 às 19:54, Cristine Hoepers via gter <
gter at eng.registro.br> escreveu:
> Oi Danton,
>
> On Thu, Jan 14, 2021 at 02:30:33PM -0300, Danton Nunes wrote:
> >
> > porta 8080? na origem ou no destino? estranho, porque a spamhaus só se
> > preocupa com portas de destino relacionadas de alguma forma ao envio de
> > email. (25,587,...)
>
> Infelizmente faz tempo que a SpamHaus está mapeando e bloqueando bem
> mais que spam/email.
>
> Eu já conversei pessoalmente com eles várias vezes, apontando que eles
> precisam ser mais transparentes no site e explicar isso melhor. Hoje,
> mesmo estatísticas deles que falam que são de origem de spam, incluem
> botnets como Mirai, que não mandam spam.
>
> Nós temos acesso a detalhes das estatísticas de IPs alocados ao Brasil
> e os dados de hoje relativos a IPs do Brasil listados em blacklists
> estão distribuídos nas seguintes portas e botnets/ameaças
> respectivamente:
>
> ------------------------------------------------------------------------
> Top 15 portas na lista de IPs alocados ao Brasil no SpamHaus em
> 14/01/2021
>
> n. porta IPs
> 01 80/tcp 101998
> 02 25/tcp 17651
> 03 23/tcp 16378
> 04 2323/tcp 4781
> 05 445/tcp 4714
> 06 5555/tcp 3651
> 07 443/tcp 1615
> 08 143/tcp 1548
> 09 8080/tcp 352
> 10 16464/udp 183
> 11 81/tcp 93
> 12 22/tcp 88
> 13 110/tcp 86
> 14 16471/udp 79
> 15 16465/udp 76
> -- outras 147
> -- total 153440
>
> ------------------------------------------------------------------------
> Top 15 botnets/ameaças na lista de IPs alocados ao Brasil no SpamHaus
> em 14/01/2021 (nomes dados pelo SpamHaus)
>
> n. botname IPs
> 01 andromeda 55713
> 02 conficker 46851
> 03 iotmirai 24279
> 04 extortion 6789
> 05 gamut 3844
> 06 openrelay 3656
> 07 smb 3368
> 08 smtpauth 1672
> 09 imap 1548
> 10 iotmicrosoftds 1346
> 11 stealrat 542
> 12 iotwopbot 396
> 13 zeroaccess 378
> 14 emotet 355
> 15 iotscan 311
> -- outras 2474
> -- total 153522
> ------------------------------------------------------------------------
>
> Abraços,
>
> Cristine
> --
> Cristine Hoepers
> CERT.br/NIC.br
> https://cert.br/
>
> >
> > -- Danton
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list