[GTER] Contato do AS28220

Fabio Martins gter at phosphorus.com.br
Thu Nov 14 11:12:52 -03 2024


Bom dia Srs,

Concordo com o Fred que o trafego provavelmente é spoofado. Se o ataque 
nao estiver consumindo toda sua banda, um rate-limit por faixa de IPs 
resolve - via iptables ou pf (assumindo que use Linux ou BSD). Ou 
bloquear trafego de entrada com porta de origem 443 (ou as abaixo de 
1024), pois os browsers/navegadores sempre usam portas de origem acima 
de 1024 para fazer os requests.

Caso esteja consumindo graande parte de sua banda, Cloudflare neles.

-- 
Att.

(+5521) 97914-8106 (Signal)
PHOSPHORUS NETWORKS | HNO3 SYSTEMS
Cyber Security Consultant
https://www.linkedin.com/in/fabio1337br/

On 11/14/24 10:48, Fred Pedrisa via gter wrote:
> Bom dia, Bruno.
>
> Acredito que trata-se do método TCP Reflection, não são eles que estão 
> atacando sua rede em específico, eles estariam apenas respondendo a 
> pacotes SYN originados da sua faixa IP (tráfego spoofado), resultando 
> na resposta SYN+ACK originando da rede deles. No caso, mesmo que você 
> resolva com eles por ex, ainda assim tudo que o atacante vai precisar 
> fazer, é utilizar outro ASN diferente para a reflexão dos pacotes 
> continuar a ser realizada.
>
> Att,
>
> -- 
> Fred Pedrisa  - CEO / +55 (11) - 97177-7000
> HyperFilter DDoS Protection Solutions
> A FNXTEC Company
> https://www.hyperfilter.com/
> A 14 de novembro de 2024 10:35:45, Bruno Vane via gter 
> <gter at eng.registro.br> escreveu:
>
>> Bom dia senhores,
>>
>> Por acaso há um representante do AS28220 no grupo?
>> Temos recebidos ataques constantes deste ASN, do tipo SYN+ACK com SRC 
>> PORT
>> 443.
>> Já tentei entrar em contato com eles pelo e-mail 
>> noc at alaresinternet.com.br
>> mas sem resposta.
>>
>> AS28220 SYN+ACK Attack <https://imgur.com/a/XXsWeGK>
>> -- 
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list