Re: [FUG-BR] Ataque DDoS - Serviços expostos

2015-08-09 Por tôpico Patrick Müller 
Se seu syslog está aberto para acesso de qualquer lugar, pode ser q o
ataque esteja sendo direcionado a ele, mas mesmo que ele não seja o alvo do
ataque não é bom deixar um serviço exposto desnecessariamente, ainda mais
udp. Se vc não precisa que ele seja acessível, faça um regra de firewall ou
insira no seu rc.conf a seguinte opção syslogd_flags=-ss para desabilitar
o socket.

Quais ferramentas vc está usando para verificar e monitorar esse ataque?

Abraço

2015-08-08 16:22 GMT-03:00 Fabiano Ribeiro 
fabiano.ribe...@gerenciatec.com.br:

 Fala Pessoal,

Estou tendo um ataque aqui de DDoS baseado em amplificação de DNS que a
 princípio estava acontecendo no .1 do primeiro prefixo ipv4 /22 que tenho
 do meu AS, até aí tudo bem joguei esse ip para blackhole, porém quando
 parei o primeiro começou a acontecer também para o .1 do segundo prefixo
 /22 que tenho do meu ASN.
Estou considerando que deve ser alguém que fez ataque para esses ips dos
 meus prefixos, porém o curioso é que esses dois ips estão associados em
 interfaces no freebsd de borda. Por isso pensei que poderia ser uma
 resposta por estar exposto algum serviço que possa ser utilizado em ataque
 de ddos.

 $ sockstat -4 -l
 USER COMMANDPID   FD PROTO  LOCAL ADDRESS FOREIGN ADDRESS
 root sshd   1052  5  tcp4   *:2200*:*
 root syslogd864   7  udp4   *:514 *:*
 quagga   bgpd   598   7  tcp4   *:179 *:*
 quagga   bgpd   598   8  tcp4   *:2605*:*
 quagga   ospfd  592   7  tcp4   *:2604*:*
 quagga   zebra  586   9  tcp4   *:2601*:*

 Alguém sabe se algum serviço desses poderia ser utilizado em ataques ?
 o syslogd esta padrão e o quagga está limitado o acesso no vty para somente
 ips internos da rede.
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Ataque DDoS - Serviços expostos

2015-08-08 Por tôpico Fabiano Ribeiro 
Fala Pessoal,

   Estou tendo um ataque aqui de DDoS baseado em amplificação de DNS que a
princípio estava acontecendo no .1 do primeiro prefixo ipv4 /22 que tenho
do meu AS, até aí tudo bem joguei esse ip para blackhole, porém quando
parei o primeiro começou a acontecer também para o .1 do segundo prefixo
/22 que tenho do meu ASN.
   Estou considerando que deve ser alguém que fez ataque para esses ips dos
meus prefixos, porém o curioso é que esses dois ips estão associados em
interfaces no freebsd de borda. Por isso pensei que poderia ser uma
resposta por estar exposto algum serviço que possa ser utilizado em ataque
de ddos.

$ sockstat -4 -l
USER COMMANDPID   FD PROTO  LOCAL ADDRESS FOREIGN ADDRESS
root sshd   1052  5  tcp4   *:2200*:*
root syslogd864   7  udp4   *:514 *:*
quagga   bgpd   598   7  tcp4   *:179 *:*
quagga   bgpd   598   8  tcp4   *:2605*:*
quagga   ospfd  592   7  tcp4   *:2604*:*
quagga   zebra  586   9  tcp4   *:2601*:*

Alguém sabe se algum serviço desses poderia ser utilizado em ataques ?
o syslogd esta padrão e o quagga está limitado o acesso no vty para somente
ips internos da rede.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ataque DDoS

2008-03-19 Por tôpico João Paulo Just 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

andre silva wrote:
| Ola a todos!!!
|
| Estou sofrendo ataque de negacao em dois servidores, para minimizar a
situacao foi ligar pra operada pra pedi bloqueio UDP. Alguem tem outra
alternativa?

Já me dei mal com isso também. Na época, falei com o distribuidor do
link (que é via Embratel) e eles fizeram um filtro por lá. O ataque
parou, mas fiquei sem acessar vários hosts no exterior, eles filtraram
demais. Então contactei eles novamente e refizeram o filtro direito.

- --
João Paulo Just
Diretor Executivo - Justsoft Informática Ltda.
http://www.justsoft.com.br/
- --
Feira de Santana, BA, Brasil.
+55 75 8104 8473
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFH4MvxXL+vuN2d7ZwRAqSPAKCvk8TwW8oVc0OqK+WUtsU9B0QhuwCgiVv7
5wuhLyiK32Q2plahKEYrIUQ=
=/0Oe
-END PGP SIGNATURE-
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ataque DDoS

2008-03-19 Por tôpico João Paulo Just 
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Douglas wrote:
| Aqui na lista já foi discutido em
|
| http://www.fug.com.br/historico/html/freebsd/2007-09/msg00225.html

Rapaz, que situação! :P

- --
João Paulo Just
Diretor Executivo - Justsoft Informática Ltda.
http://www.justsoft.com.br/
- --
Feira de Santana, BA, Brasil.
+55 75 8104 8473
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFH4ODgXL+vuN2d7ZwRAqZnAKCHtRRgG/GmdwWq2Omi75/ce/hE6ACfRgRf
yh7bRgKG3Uiur/jWc29vwuY=
=hQXE
-END PGP SIGNATURE-
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] Ataque DDoS

2008-03-18 Por tôpico andre silva 

Ola a todos!!!
 
Estou sofrendo ataque de negacao em dois servidores, para minimizar a situacao 
foi ligar pra operada pra pedi bloqueio UDP. Alguem tem outra alternativa?
_
Cansado de espaço para só 50 fotos? Conheça o Spaces, o site de relacionamentos 
com até 6,000 fotos!
http://www.amigosdomessenger.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ataque DDoS

2008-03-18 Por tôpico Cristina Fernandes Silva 
se não me engano no histórico da lista tem falando sobre isso.. dar
uma pesquisada..

2008/3/19, andre silva [EMAIL PROTECTED]:

  Ola a todos!!!

  Estou sofrendo ataque de negacao em dois servidores, para minimizar a 
 situacao foi ligar pra operada pra pedi bloqueio UDP. Alguem tem outra 
 alternativa?
  _
  Cansado de espaço para só 50 fotos? Conheça o Spaces, o site de 
 relacionamentos com até 6,000 fotos!
  http://www.amigosdomessenger.com.br
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ataque DDoS

2008-03-18 Por tôpico Felippe de Meirelles Motta 
Em Wed, 19 Mar 2008 06:03:18 +0300
andre silva [EMAIL PROTECTED] escreveu:

 
 Ola a todos!!!
  
 Estou sofrendo ataque de negacao em dois servidores, para minimizar a
 situacao foi ligar pra operada pra pedi bloqueio UDP. Alguem tem
 outra alternativa?
 _
 Cansado de espaço para só 50 fotos? Conheça o Spaces, o site de
 relacionamentos com até 6,000 fotos!
 http://www.amigosdomessenger.com.br -
 Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da
 lista: https://www.fug.com.br/mailman/listinfo/freebsd

Olá André,

Acredito que não possa fazer nada para bloqueio efetivo, porém, esta
medida que você tomou, pode acarretar mais problemas. 

Se um desses servidores responde por requisições DNS, você já deixou
seus domínios inacessíveis pelo nome externamente.

-- 
Felippe de Meirelles Motta


signature.asc
Description: PGP signature
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ataque DDoS

2008-03-18 Por tôpico andre silva 

Perfeitamente Felippe um dos servers é DNS, ainda bem q tenho outros o ruim é 
ficar com o link parado e esperar ate q os carinhas sintam sono ou arrume uma 
linda mulher..rs.r.srs. Cristiane ja li o hitorico e um pouco mais, mesmo assim 
valeu.
 
 Date: Wed, 19 Mar 2008 00:11:04 -0300 From: [EMAIL PROTECTED] To: 
 freebsd@fug.com.br Subject: Re: [FUG-BR] Ataque DDoS  Em Wed, 19 Mar 2008 
 06:03:18 +0300 andre silva [EMAIL PROTECTED] escreveu: Ola a 
 todos!!!Estou sofrendo ataque de negacao em dois servidores, para 
 minimizar a  situacao foi ligar pra operada pra pedi bloqueio UDP. Alguem 
 tem  outra alternativa?  
 _  Cansado 
 de espaço para só 50 fotos? Conheça o Spaces, o site de  relacionamentos 
 com até 6,000 fotos!  http://www.amigosdomessenger.com.br 
 -  Histórico: 
 http://www.fug.com.br/historico/html/freebsd/ Sair da  lista: 
 https://www.fug.com.br/mailman/listinfo/freebsd  Olá André,  Acredito que 
 não possa fazer nada para bloqueio efetivo, porém, esta medida que você 
 tomou, pode acarretar mais problemas.   Se um desses servidores responde 
 por requisições DNS, você já deixou seus domínios inacessíveis pelo nome 
 externamente.  --  Felippe de Meirelles Motta
_
Cansado de espaço para só 50 fotos? Conheça o Spaces, o site de relacionamentos 
com até 6,000 fotos!
http://www.amigosdomessenger.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] Ataque DDoS

2008-03-18 Por tôpico Wesley FreeBSD Consult 
- Original Message - 
From: andre silva [EMAIL PROTECTED]
To: Fug freebsd@fug.com.br
Sent: Wednesday, March 19, 2008 12:03 AM
Subject: [FUG-BR] Ataque DDoS



Ola a todos!!!

Estou sofrendo ataque de negacao em dois servidores, para minimizar a 
situacao foi ligar pra operada pra pedi bloqueio UDP. Alguem tem outra 
alternativa?
_

Rezar e esperar.

Wesley Miranda
FreeBSD Consult LTDA
DTI - Departamento de Tecnologia da Informação
Telefone - (0xx31) 3332-6972 (0xx31) 9356-1828
www.freebsdconsult.com.br 

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd