[GTER] Contato do AS28220

Gustavo Santos gustkiller at gmail.com
Thu Nov 14 12:14:24 -03 2024 

Já cheguei a entrar em conato, mas até então continuam usando eles como
refletores..

Como não teve nenhuma ação por parte deles  até o momento, o que origina
estes syn/ack floods partindo deste ASN
são CPEs da Nokia com a porta 443 aberta ( Gerência) aberta para o mundo.
Coisa que uma ACL simples
na gestão da rede xPON deles resolveria.

É só verificar no log do ataque, e acessar os hosts na porta 443...



Em qui., 14 de nov. de 2024 às 12:09, Fred Pedrisa via gter <
gter at eng.registro.br> escreveu:

> Bom dia, Bruno. **(Texto Retificado)**
>
>
>
>
> Apenas acrescentando no que já foi dito por ti, que embora muitos
> provedores não estejam seguindo as melhores práticas, esse caso dos
> ataques
> TCP SYN+ACK em específico, está ocorrendo até mesmo com grandes players de
> cloud, como Google Cloud, Amazon AWS, Microsoft Azure e etc. Então acho
> que
> isso vai longe.
>
>
>
>
> Mas saliento que realmente pelo menos um registro do que anda ocorrendo,
> deveria ser feito pelas partes interessadas, quanto mais casos forem
> relatados melhor serão as evidências para que as autoridades possam se
> movimentar melhor a respeito, se ninguém reportar nada qualquer possível
> chance de melhorar esse cenário de alguma forma, deixa de existir.
>
>
>
>
> E embora nós sejamos um "fornecedor de soluções" nessa área, acredito que
> estamos aqui para atendermos problemas reais e não uma suposta "demanda
> artificial" que realmente é a impressão que fica de tudo isso.
> Principalmente considerando a quantidade de empresas que estão sofrendo
> "ao
> mesmo tempo" dessa mesma situação e sem qualquer "padrão ou conexão
> aparente" entre elas.
>
>
>
>
> Att,
>
>
> --
> Fred Pedrisa  - CEO / +55 (11) - 97177-7000
> HyperFilter DDoS Protection Solutions
> A FNXTEC Company
> https://www.hyperfilter.com/
> A 14 de novembro de 2024 12:05:14, Fred Pedrisa via gter
> <gter at eng.registro.br> escreveu:
>
> > Bom dia, Bruno.
> >
> > Apenas acrescentando no que já foi dito por ti, que embora muitos
> > provedores não estejam seguindo as melhores práticas, esse caso dos
> ataques
> > TCP SYN+ACK em específico, está ocorrendo até mesmo com grandes players
> de
> > cloud, como Google Cloud, Amazon AWS, Microsoft Azure e etc. Então acho
> que
> > isso vai longe.
> >
> > Mas saliento que realmente pelo menos um registro do que anda ocorrendo,
> > deveria ser feito pelas partes interessadas, quanto mais casos forem
> > relatados melhor serão as evidências para que as autoridades possam se
> > movimentar melhor a respeito, se ninguém reportar nada
> >
> > E embora nós sejamos um "fornecedor de soluções" nessa área, acredito que
> > estamos aqui para atendermos problemas reais e não uma suposta "demanda
> > artificial" que realmente é a impressão que fica de tudo isso.
> > Principalmente considerando a quantidade de empresas que estão sofrendo
> "ao
> > mesmo tempo" dessa mesma situação e sem qualquer "padrão ou conexão
> > aparente" entre elas.
> >
> > Att,
> >
> > --
> > Fred Pedrisa  - CEO / +55 (11) - 97177-7000
> > HyperFilter DDoS Protection Solutions
> > A FNXTEC Company
> > https://www.hyperfilter.com/
> > A 14 de novembro de 2024 11:40:27, Lucas Willian Bocchi via gter
> > <gter at eng.registro.br> escreveu:
> >
> >> Bom dia Bruno, tudo bem?
> >> A tempos atrás já falei sobre o problema no grupo. É um crime, e como
> tal,
> >> precisa ser investigado. Alguns de nossos parceiros provedores já
> abriram
> >> boletim de ocorrência na delegacia de crimes digitais para investigar ou
> >> pelo menos fazer alguém tomar alguma atitude contra o problema, já que
> quem
> >> deveria fazer o dever de casa, ou seja, os provedores, não deixando sair
> >> lixo da sua rede, não o fazem. A investigação já está bem encaminhada e
> >> veremos onde vai dar. Se o "pula pirata" der resultado vai aparecer o
> >> engraçado que está fazendo isso. Pra mim é gente com interesse comercial
> >> encima disso.
> >>
> >> Em qui., 14 de nov. de 2024 às 10:35, Bruno Vane via gter <
> >> gter at eng.registro.br> escreveu:
> >>
> >>> Bom dia senhores,
> >>>
> >>> Por acaso há um representante do AS28220 no grupo?
> >>> Temos recebidos ataques constantes deste ASN, do tipo SYN+ACK com SRC
> PORT
> >>> 443.
> >>> Já tentei entrar em contato com eles pelo e-mail
> noc at alaresinternet.com.br
> >>> mas sem resposta.
> >>>
> >>> AS28220 SYN+ACK Attack <https://imgur.com/a/XXsWeGK>
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list