[GTER] Aumento do nível de ataques tipo SYN FLOOD

Lucas Willian Bocchi lucas.bocchi at gmail.com
Mon Apr 15 17:04:46 -03 2024 

A quem interessar possa, na nossa ferramenta de verificação de ASN anexamos
a possibilidade de verificar se sua rede está fazendo SYN FLOOD ou não.
Para desenvolver este recurso, colocamos algumas regras monitorando vários
servidores em locais diferentes alimentando essa base centralizada. Se
algum ip do seu ASN está aparecendo aí é por que
1) Teve vários envios de SYN_FLOOD para o mesmo destino em menos de 5
segundos
2) Está enviando SYN_FLOOD para VÁRIOS servidores (mais de 5
especificamente)
Os dados podem ser obtidos através da seguinte URL

https://vps3.lucas.inf.br/ipcountry/synflood.php.

Funciona "mais ou menos" no mesmo formato do outro sistema, mas as
requisições podem ser enviadas via GET ou POST com os seguintes parâmetros:
asn: É um número inteiro representando o AS a ser pesquisado. Irá retornar
todos os IP's identificados desse AS. Caso você deseje ver TODOS os dados,
envie o número do ASN como ZERO;
type: É o tipo de retorno. Aceita os valores json (retorna um json), xml
(retorna um xml) ou txt (retorna texto puro). O valor default é json;
Pelo menos um dos parâmetros deve ser fornecido, obrigatoriamente;


Os valores retornados são:
ip: O Endereço identificado no SYN FLOOD
firstseen: A primeira vez que o IP foi usado para fazer o ataque
lastseen: A última vez que o IP foi usado para fazer o ataque
counts: As vezes que o IP foi visto usado para fazer o ataque
numas: O Número do AS
description: Descrição do AS
friendlyname: Apelido do AS
country: País do AS

Estamos afinando a ferramenta para tentar enviar e-mails automatizados de
aviso sobre este ataque aos responsáveis, mas como vocês sabem, a maioria
desses avisos sempre vai pro /dev/null.

Maiores detalhes por favor me procurem em PVT.

Em qua., 10 de abr. de 2024 às 18:48, Fred Pedrisa [HyperFilter DDoS
Protection Solutions] via gter <gter at eng.registro.br> escreveu:

> Boa noite,
>
> Sim, temos notado um aumento exponecial nesses ataques em todos os
> nossos clientes. Porém, não temos tido muitos problemas, uma vez que
> conseguimos mitigar esse tráfego de modo bem eficiente.
>
> O maior problema não está na rede do cliente que com o ataque totalmente
> mitigado não sofre impacto.
>
> Porém o que foge do controle, são os diversos provedores de conteúdo que
> acabam por vezes bloqueando os blocos do cliente atacado desse modo
> devido ao tipo do ataque ser TCP Reflection no caso.
>
> Na realidade não é nem SYN FLOOD exatamente, mas trata-se de SYN+ACK
> FLOOD (resultado da reflexão do ataque SYN FLOOD em uma grande
> quantidade de servidores válidos na internet).
>
> Att,
>
> On 10/04/2024 17:52, Lucas Willian Bocchi via gter wrote:
> > Boa tarde a todos, tudo bem?
> > Tenho notado um aumento no volume de ataques de SYN FLOOD, principalmente
> > com destino a porta 443, em vários provedores nos quais presto serviços.
> >
> > Alguém mais notou um aumento desse tipo de tráfego?
> > --
> > gter listhttps://eng.registro.br/mailman/listinfo/gter
> --
> *Fred Pedrisa - CEO/CTO*
> HyperFilter DDoS Protection Solutions <https://www.hyperfilter.com>
> A FNXTEC, Company.
> *Mobile:* +55 (11) 97177-7000
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list