headers
Emerson Araujo | 29 Jun 2012 00:47
Picon

[GTER] Ataque UDP

Boa noite pessoal, tenho um amigo dono de provedor que está sofrendo um
ataque que está matando o link dele, o ataque provém de um único ip já
solicitamos a operadora para bloquear tal ip a mesma informou que fez o
procedimento mas o ataque continua, no inicio o ataque era dirigido a um ip
do prefixo dele, dai falei pra ele quebrar a rede dele em classes menores e
não anunciar o bloco que continha o ip atacado por alguns dias, o problema
é que o ataque agora está direcionado ao ip da WAN do roteador de borda
dele, como proceder nessa situação?

--

-- 
Emerson Araujo
--
gter list    https://eng.registro.br/mailman/listinfo/gter
Permalink | Reply |
headers
Alexandre J. Correa - Onda Internet | 29 Jun 2012 01:48
Picon
Gravatar

Re: [GTER] Ataque UDP

a operadora pode fazer o anuncio do bloco da wan dele como blackhole ...

Em 28/06/2012 19:47, Emerson Araujo escreveu:
> nicio o ataque era dirigido a um ip
> do prefixo dele, dai falei pra ele quebrar a rede dele em classes menores e

--

-- 
Sds.

Alexandre Jeronimo Correa
Sócio-Administrador

Onda Internet
www.onda.net.br

IPV6 Ready !

--
gter list    https://eng.registro.br/mailman/listinfo/gter
Permalink | Reply |
headers
Antonio Carlos Pina | 29 Jun 2012 02:36
Picon

Re: [GTER] Ataque UDP

Na ponta dele ou da operadora ?

Sugiro acl na ponta dele e blackhole. 

Abs

Em 28/06/2012, às 19:47, Emerson Araujo <araujoprog <at> gmail.com> escreveu:

> Boa noite pessoal, tenho um amigo dono de provedor que está sofrendo um
> ataque que está matando o link dele, o ataque provém de um único ip já
> solicitamos a operadora para bloquear tal ip a mesma informou que fez o
> procedimento mas o ataque continua, no inicio o ataque era dirigido a um ip
> do prefixo dele, dai falei pra ele quebrar a rede dele em classes menores e
> não anunciar o bloco que continha o ip atacado por alguns dias, o problema
> é que o ataque agora está direcionado ao ip da WAN do roteador de borda
> dele, como proceder nessa situação?
> 
> -- 
> Emerson Araujo
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
--
gter list    https://eng.registro.br/mailman/listinfo/gter
Permalink | Reply |
headers
Rafael Galdino da Cunha | 29 Jun 2012 01:55
Picon

Re: [GTER] Ataque UDP

Grande Emerson, a quanto tempo cara não vejo vc. mas vamos la.

o ataque não esta sendo spoofado? se for é complicado descobrir, até pq
muitas telecom oferecem o serviço de Firewall para isso, pois o ataque
sendo maior que a banda do atacado já era..

quebrar o IP acho que não adianta muito pois ele vai dar um simples scan na
faixa de ip e ver os ips ativos e continuar o ataque ainda.....

esse seu amigo ele tem AS? se sim, poderia tentar fazer umas coisas para
evitar, mas mesmo assim eh um pouco complicado.

Em 28 de junho de 2012 19:47, Emerson Araujo <araujoprog@...>escreveu:

> Boa noite pessoal, tenho um amigo dono de provedor que está sofrendo um
> ataque que está matando o link dele, o ataque provém de um único ip já
> solicitamos a operadora para bloquear tal ip a mesma informou que fez o
> procedimento mas o ataque continua, no inicio o ataque era dirigido a um ip
> do prefixo dele, dai falei pra ele quebrar a rede dele em classes menores e
> não anunciar o bloco que continha o ip atacado por alguns dias, o problema
> é que o ataque agora está direcionado ao ip da WAN do roteador de borda
> dele, como proceder nessa situação?
>
> --
> Emerson Araujo
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

--

--
(Continue reading)

Permalink | Reply |
headers
Danton Nunes | 29 Jun 2012 04:59
Picon

Re: [GTER] Ataque UDP

On Thu, 28 Jun 2012, Emerson Araujo wrote:

> Boa noite pessoal, tenho um amigo dono de provedor que está sofrendo um
> ataque que está matando o link dele, o ataque provém de um único ip já
> solicitamos a operadora para bloquear tal ip a mesma informou que fez o
> procedimento mas o ataque continua, no inicio o ataque era dirigido a um ip
> do prefixo dele, dai falei pra ele quebrar a rede dele em classes menores e
> não anunciar o bloco que continha o ip atacado por alguns dias, o problema
> é que o ataque agora está direcionado ao ip da WAN do roteador de borda
> dele, como proceder nessa situação?

por acaso é UDP na porta 53? muito provavelmente o IP de origem é falso.
--
gter list    https://eng.registro.br/mailman/listinfo/gter
Permalink | Reply |
headers
Emerson Araujo | 29 Jun 2012 15:45
Picon

Re: [GTER] Ataque UDP

Então Rafael e ai tudo tranquilo, sim ele tem AS diante da inercia da
operadora diante do caso foi a solução que encontrei para ele poder
respirar, não sei se é spoffado, o ataque ta matando o ptp dele em numero
de pacotes e não em banda. Pois é Alexandre eu falei pra ele verificar se a
operadora pode passar pra ele as communities mas já viu como são as coisas
quando se trata desse ramo. Antonio o ataque é na porta dele. Danton, o
ataque não é na porta 53.

Pensando com os meus botões aqui eu imaginei uma situação hipotética mas
que na teoria poderia ocorrer, se a operadora de trânsito dele estiver
bloqueando o ataque (como diz que está fazendo) mas se o fizer na borda
deles e o ataque estiver vindo de dentro da rede deles continuaria
passando, seria assim ou estou enganado?

Falei pra ele ligar la pra tentarem rastrear hop a hop, mas a resposta da
operadora foi que não há o que fazer, fiquei indignado pois seria a mesma
coisa de ter água suja na torneira ligar na consecionária e a mesma
informar que não pode fazer nada pois veio do rio assim.
--
gter list    https://eng.registro.br/mailman/listinfo/gter
Permalink | Reply |
headers
Rafael Ramos | 30 Jun 2012 00:14
Picon

Re: [GTER] Ataque UDP

Qual firewall ele utiliza para o BGP ? consegue mandar maiores detalhes
como qual operadora o atende etc.. e ip ou porta que esta sendo atacada ?

Em 29 de junho de 2012 10:45, Emerson Araujo <araujoprog@...>escreveu:

> Então Rafael e ai tudo tranquilo, sim ele tem AS diante da inercia da
> operadora diante do caso foi a solução que encontrei para ele poder
> respirar, não sei se é spoffado, o ataque ta matando o ptp dele em numero
> de pacotes e não em banda. Pois é Alexandre eu falei pra ele verificar se a
> operadora pode passar pra ele as communities mas já viu como são as coisas
> quando se trata desse ramo. Antonio o ataque é na porta dele. Danton, o
> ataque não é na porta 53.
>
> Pensando com os meus botões aqui eu imaginei uma situação hipotética mas
> que na teoria poderia ocorrer, se a operadora de trânsito dele estiver
> bloqueando o ataque (como diz que está fazendo) mas se o fizer na borda
> deles e o ataque estiver vindo de dentro da rede deles continuaria
> passando, seria assim ou estou enganado?
>
> Falei pra ele ligar la pra tentarem rastrear hop a hop, mas a resposta da
> operadora foi que não há o que fazer, fiquei indignado pois seria a mesma
> coisa de ter água suja na torneira ligar na consecionária e a mesma
> informar que não pode fazer nada pois veio do rio assim.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

--

-- 

*Rafael Nascimento Ramos*
(Continue reading)

Permalink | Reply |
headers
Marcelo Moura | 30 Jun 2012 13:53
Picon

Re: [GTER] Ataque UDP

Se o problema nao envolve consumo de banda e somente udp flood, voce pode
tomar as seguintes medidas: 1) na borda da sua rede, dropar todos os
pacotes udp destinados a porta de destino que voce ja identificou; 2) caso
tenha um NIPS, ativar a assinatura contra udp floods (talvez parametros
como quantidade de pacotes/segundo ou outro gatilho precisem ser
customizados para que outros trafegos udp nao sejam dropados). Precisamos
saber se o ataque vem de um unico socket (endereço/porta), se o destino eh
sempre para o mesmo socket e se ha padrao no tamanho dos pacotes, entao
verifique isso nos logs dos equipamentos e nos envie.

Marcelo Moura
Sent from my Android

Em 29/06/2012 20:16, "Rafael Ramos" <rafael.ramos@...
>escreveu:

Qual firewall ele utiliza para o BGP ? consegue mandar maiores detalhes
como qual operadora o atende etc.. e ip ou porta que esta sendo atacada ?

Em 29 de junho de 2012 10:45, Emerson Araujo <araujoprog@...>escreveu:

> Então Rafael e ai tudo tranquilo, sim ele tem AS diante da inercia da
> operadora diante do caso ...

--

-- 

*Rafael Nascimento Ramos*
*Consultor de TI*
*Tel: (11) 2952-7464
Cel:(11) 8522-8522*
(Continue reading)

Permalink | Reply |
headers
Emerson Araujo | 1 Jul 2012 03:58
Picon

Re: [GTER] Ataque UDP

Boa noite a todos e obrigado pela ajuda, informo que o problema foi
solucionado, mas só depois da novela da operadora ter bloqueado e depois
ter liberado novamente o ataque alegando que tinha travado o roteador
deles, a solução que ele encontrou foi entrar em contato com o dono do ip
que de origem do ataque (era um provedor de serviços) e explicar a situação
dai tomaram as providências. Para conhecimento o ataque tinha como origem
um único ip o protocolo usado era UDP porta destino 777, o maior problema
dele é que usa equipamentos que não suportam um grande número de pacotes
nos enlaces por isso o link morria primeiro por pps do que por banda. Um
dos principais problemas dele é que entre a borda da operadora e a borda
dele ele tem esses enlaces que funcionam em bridge.

Em 30 de junho de 2012 08:53, Marcelo Moura <marcelo.moura@...>escreveu:

> Se o problema nao envolve consumo de banda e somente udp flood, voce pode
> tomar as seguintes medidas: 1) na borda da sua rede, dropar todos os
> pacotes udp destinados a porta de destino que voce ja identificou; 2) caso
> tenha um NIPS, ativar a assinatura contra udp floods (talvez parametros
> como quantidade de pacotes/segundo ou outro gatilho precisem ser
> customizados para que outros trafegos udp nao sejam dropados). Precisamos
> saber se o ataque vem de um unico socket (endereço/porta), se o destino eh
> sempre para o mesmo socket e se ha padrao no tamanho dos pacotes, entao
> verifique isso nos logs dos equipamentos e nos envie.
>
> Marcelo Moura
> Sent from my Android
>
> Em 29/06/2012 20:16, "Rafael Ramos" <rafael.ramos@...
> >escreveu:
>
(Continue reading)

Permalink | Reply |
headers
Michel Ferreira | 1 Jul 2012 05:53
Picon
Gravatar

Re: [GTER] Ataque UDP

Tava chegando a qtos PPS ?

Até mais,
Michel

2012/6/30 Emerson Araujo <araujoprog@...>

> Boa noite a todos e obrigado pela ajuda, informo que o problema foi
> solucionado, mas só depois da novela da operadora ter bloqueado e depois
> ter liberado novamente o ataque alegando que tinha travado o roteador
> deles, a solução que ele encontrou foi entrar em contato com o dono do ip
> que de origem do ataque (era um provedor de serviços) e explicar a situação
> dai tomaram as providências. Para conhecimento o ataque tinha como origem
> um único ip o protocolo usado era UDP porta destino 777, o maior problema
> dele é que usa equipamentos que não suportam um grande número de pacotes
> nos enlaces por isso o link morria primeiro por pps do que por banda. Um
> dos principais problemas dele é que entre a borda da operadora e a borda
> dele ele tem esses enlaces que funcionam em bridge.
>
> Em 30 de junho de 2012 08:53, Marcelo Moura <marcelo.moura@...
> >escreveu:
>
> > Se o problema nao envolve consumo de banda e somente udp flood, voce pode
> > tomar as seguintes medidas: 1) na borda da sua rede, dropar todos os
> > pacotes udp destinados a porta de destino que voce ja identificou; 2)
> caso
> > tenha um NIPS, ativar a assinatura contra udp floods (talvez parametros
> > como quantidade de pacotes/segundo ou outro gatilho precisem ser
> > customizados para que outros trafegos udp nao sejam dropados). Precisamos
> > saber se o ataque vem de um unico socket (endereço/porta), se o destino
(Continue reading)

Permalink | Reply |
headers
Rafael Ramos | 29 Jun 2012 15:45
Picon

Re: [GTER] Ataque UDP

Passe maiores detalhes do ataque por favor!

Em 28 de junho de 2012 23:59, Danton Nunes <danton.nunes@...>escreveu:

> On Thu, 28 Jun 2012, Emerson Araujo wrote:
>
>  Boa noite pessoal, tenho um amigo dono de provedor que está sofrendo um
>> ataque que está matando o link dele, o ataque provém de um único ip já
>> solicitamos a operadora para bloquear tal ip a mesma informou que fez o
>> procedimento mas o ataque continua, no inicio o ataque era dirigido a um
>> ip
>> do prefixo dele, dai falei pra ele quebrar a rede dele em classes menores
>> e
>> não anunciar o bloco que continha o ip atacado por alguns dias, o problema
>> é que o ataque agora está direcionado ao ip da WAN do roteador de borda
>> dele, como proceder nessa situação?
>>
>
> por acaso é UDP na porta 53? muito provavelmente o IP de origem é falso.
>
> --
> gter list    https://eng.registro.br/**mailman/listinfo/gter<https://eng.registro.br/mailman/listinfo/gter>
>

--

-- 

*Rafael Nascimento Ramos*
*Consultor de TI*
*Tel: (11) 2952-7464
Cel:(11) 8522-8522*
(Continue reading)

Permalink | Reply |

Gmane