[GTER] Contato do AS28220
Fabio Martins
gter at phosphorus.com.br
Thu Nov 14 11:12:52 -03 2024
Bom dia Srs,
Concordo com o Fred que o trafego provavelmente é spoofado. Se o ataque
nao estiver consumindo toda sua banda, um rate-limit por faixa de IPs
resolve - via iptables ou pf (assumindo que use Linux ou BSD). Ou
bloquear trafego de entrada com porta de origem 443 (ou as abaixo de
1024), pois os browsers/navegadores sempre usam portas de origem acima
de 1024 para fazer os requests.
Caso esteja consumindo graande parte de sua banda, Cloudflare neles.
--
Att.
(+5521) 97914-8106 (Signal)
PHOSPHORUS NETWORKS | HNO3 SYSTEMS
Cyber Security Consultant
https://www.linkedin.com/in/fabio1337br/
On 11/14/24 10:48, Fred Pedrisa via gter wrote:
> Bom dia, Bruno.
>
> Acredito que trata-se do método TCP Reflection, não são eles que estão
> atacando sua rede em específico, eles estariam apenas respondendo a
> pacotes SYN originados da sua faixa IP (tráfego spoofado), resultando
> na resposta SYN+ACK originando da rede deles. No caso, mesmo que você
> resolva com eles por ex, ainda assim tudo que o atacante vai precisar
> fazer, é utilizar outro ASN diferente para a reflexão dos pacotes
> continuar a ser realizada.
>
> Att,
>
> --
> Fred Pedrisa - CEO / +55 (11) - 97177-7000
> HyperFilter DDoS Protection Solutions
> A FNXTEC Company
> https://www.hyperfilter.com/
> A 14 de novembro de 2024 10:35:45, Bruno Vane via gter
> <gter at eng.registro.br> escreveu:
>
>> Bom dia senhores,
>>
>> Por acaso há um representante do AS28220 no grupo?
>> Temos recebidos ataques constantes deste ASN, do tipo SYN+ACK com SRC
>> PORT
>> 443.
>> Já tentei entrar em contato com eles pelo e-mail
>> noc at alaresinternet.com.br
>> mas sem resposta.
>>
>> AS28220 SYN+ACK Attack <https://imgur.com/a/XXsWeGK>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list