[GTER] Aumento do nível de ataques tipo SYN FLOOD

[Lucas Willian Bocchi]

Errata.
O parâmetro type também aceita o valor "ip", que irá retornar somente os
ips, sem os detalhamentos, em formato TXT.
https://vps3.lucas.inf.br/ipcountry/synflood.php?type=ip

Em seg., 15 de abr. de 2024 às 17:04, Lucas Willian Bocchi <
lucas.bocchi at gmail.com> escreveu:

> A quem interessar possa, na nossa ferramenta de verificação de ASN
> anexamos a possibilidade de verificar se sua rede está fazendo SYN FLOOD ou
> não.
> Para desenvolver este recurso, colocamos algumas regras monitorando vários
> servidores em locais diferentes alimentando essa base centralizada. Se
> algum ip do seu ASN está aparecendo aí é por que
> 1) Teve vários envios de SYN_FLOOD para o mesmo destino em menos de 5
> segundos
> 2) Está enviando SYN_FLOOD para VÁRIOS servidores (mais de 5
> especificamente)
> Os dados podem ser obtidos através da seguinte URL
>
> https://vps3.lucas.inf.br/ipcountry/synflood.php.
>
> Funciona "mais ou menos" no mesmo formato do outro sistema, mas as
> requisições podem ser enviadas via GET ou POST com os seguintes parâmetros:
> asn: É um número inteiro representando o AS a ser pesquisado. Irá retornar
> todos os IP's identificados desse AS. Caso você deseje ver TODOS os dados,
> envie o número do ASN como ZERO;
> type: É o tipo de retorno. Aceita os valores json (retorna um json), xml
> (retorna um xml) ou txt (retorna texto puro). O valor default é json;
> Pelo menos um dos parâmetros deve ser fornecido, obrigatoriamente;
>
>
> Os valores retornados são:
> ip: O Endereço identificado no SYN FLOOD
> firstseen: A primeira vez que o IP foi usado para fazer o ataque
> lastseen: A última vez que o IP foi usado para fazer o ataque
> counts: As vezes que o IP foi visto usado para fazer o ataque
> numas: O Número do AS
> description: Descrição do AS
> friendlyname: Apelido do AS
> country: País do AS
>
> Estamos afinando a ferramenta para tentar enviar e-mails automatizados de
> aviso sobre este ataque aos responsáveis, mas como vocês sabem, a maioria
> desses avisos sempre vai pro /dev/null.
>
> Maiores detalhes por favor me procurem em PVT.
>
> Em qua., 10 de abr. de 2024 às 18:48, Fred Pedrisa [HyperFilter DDoS
> Protection Solutions] via gter <gter at eng.registro.br> escreveu:
>
>> Boa noite,
>>
>> Sim, temos notado um aumento exponecial nesses ataques em todos os
>> nossos clientes. Porém, não temos tido muitos problemas, uma vez que
>> conseguimos mitigar esse tráfego de modo bem eficiente.
>>
>> O maior problema não está na rede do cliente que com o ataque totalmente
>> mitigado não sofre impacto.
>>
>> Porém o que foge do controle, são os diversos provedores de conteúdo que
>> acabam por vezes bloqueando os blocos do cliente atacado desse modo
>> devido ao tipo do ataque ser TCP Reflection no caso.
>>
>> Na realidade não é nem SYN FLOOD exatamente, mas trata-se de SYN+ACK
>> FLOOD (resultado da reflexão do ataque SYN FLOOD em uma grande
>> quantidade de servidores válidos na internet).
>>
>> Att,
>>
>> On 10/04/2024 17:52, Lucas Willian Bocchi via gter wrote:
>> > Boa tarde a todos, tudo bem?
>> > Tenho notado um aumento no volume de ataques de SYN FLOOD,
>> principalmente
>> > com destino a porta 443, em vários provedores nos quais presto serviços.
>> >
>> > Alguém mais notou um aumento desse tipo de tráfego?
>> > --
>> > gter listhttps://eng.registro.br/mailman/listinfo/gter
>> --
>> *Fred Pedrisa - CEO/CTO*
>> HyperFilter DDoS Protection Solutions <https://www.hyperfilter.com>
>> A FNXTEC, Company.
>> *Mobile:* +55 (11) 97177-7000
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>