[AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49

[Caio Pato]

Fico contente que temos na lista pessoas que gostam de ensinar de
forma humilde quem nada sabe. Gostei das suas explicações! Vamos aos
comentários pontuais.

2013/7/31 Marcio - Google <marciorp em gmail.com>:
> Já ouviu falar de Cisco, Juniper, WatchGuard???

Não, nunca ouvi falar de Cisco - exceto aquele que aparece no meu olho
de séculos em séculos :P
Serve a SonicWall? Fortinet? Check Point?

> Em tempo, o seu ataque foi micro-porte. Se tivesse sido um ataque de
> médio-porte pra cima, no minimo seu "servidor" teria caído. Só 6 tentativas
> por segundo não é nada, e mostra que o cracker que tentou é um micreiro.

Bom, você com certeza entende muito de segurança mas pouco de ataques.
E isso deve ser bom, porque quem se protege não precisa se preocupar
com ataques - muito menos conhecê-los, não é mesmo?

Não sei se você sabe mas logo após uma invasão você sabe o que o
cracker/hacker/lammer faz? Consertar a falha para que ninguém use a
mesma brecha. Afinal, ninguém quer dividir a invasão com outro
scriptkiddie.

E por que você acha que algum atacante iria querer DERRUBAR A SUA
MÁQUINA? Qual a LÓGICA em derrubar?

Pense um pouquinho... só por dois segundos: se o cara enviar N mil
conexões e derrubar o seu servidor SEM DESCOBRIR a vulnerabilidade,
como é que ele vai explorar? O interesse dele não é DDoS, é USAR sua
máquina. São antagônicos.

Por favor, pare para pensar nesse ponto... qual a vantagem de derrubar
um servidor o qual você pretende invadir? Estou falando de INVASÃO,
não DDoS. Derrubar é DDoS. E não sou estudioso de ataques, mas em uma
palestra na penúltima reunião do GTS de um grupo de segurança que
investigou , esse povo que faz descarga de VoIP são muito bem
organizados e a ÚLTIMA coisa que fariam é derrubar um servidor que
querem usar. É muita, muita burrice fazer isso. Usando suas sábias
palavras, "oh my god, uma sandice" derrubar algo que você quer usar.
Por isso, um ataque micro - ou nano - é o mais recomendado.

> Ah, tava esquecendo, não sei se sabe, mais o que aparece no console do
> Asterisk pode ser facilmente jogado para um arquivo e virar log para
> analise.

E? E dai? O que adianta um log inválido? Com poucas informações ou
informações inúteis? Com IP spoofado na maioria das vezes? Os IPs que
vem nos ataques de brute force são geralmente spoofados...

Não adianta gravar logs inúteis. O IP que aparece na maioria dos
ataques (SIP HEADER) é spoofado.

Não pesquisei a fundo mas não me lembro que o asterisk consiga
capturar o IP verdadeiro. Mas talvez você possa me dar mais uma aula
para todos nós que ainda estamos começando na vida, Você poderia
compartlhar o seu script para pegar o IP verdadeiro da conexão
TCP/UDP? Ai a gente pode gravar no próprio CDR... sem precisar confiar
no SIP_HEADER, que, como eu disse, pode ser spoofado.

Muito obrigado por sua ajuda!