[AsteriskBrasil] Ataque massivo a partir do IP 67.207.137.49

Alex Sander sanderdabio em globo.com
Quarta Julho 31 16:13:37 BRT 2013 

Pois é Caio, na minha parca experiência, sempre aprendi que as melhores
soluções são as mais simples... Vou montar um server de 10 ramais para o
cliente e explicar que vai me pagar uns 7K de servidor e serviços e mais
100K de equipamentos de segurança de redes...

Att,


Em 31 de julho de 2013 15:55, Caio Pato <caiopato em gmail.com> escreveu:

> Fico contente que temos na lista pessoas que gostam de ensinar de
> forma humilde quem nada sabe. Gostei das suas explicações! Vamos aos
> comentários pontuais.
>
> 2013/7/31 Marcio - Google <marciorp em gmail.com>:
> > Já ouviu falar de Cisco, Juniper, WatchGuard???
>
> Não, nunca ouvi falar de Cisco - exceto aquele que aparece no meu olho
> de séculos em séculos :P
> Serve a SonicWall? Fortinet? Check Point?
>
> > Em tempo, o seu ataque foi micro-porte. Se tivesse sido um ataque de
> > médio-porte pra cima, no minimo seu "servidor" teria caído. Só 6
> tentativas
> > por segundo não é nada, e mostra que o cracker que tentou é um micreiro.
>
> Bom, você com certeza entende muito de segurança mas pouco de ataques.
> E isso deve ser bom, porque quem se protege não precisa se preocupar
> com ataques - muito menos conhecê-los, não é mesmo?
>
> Não sei se você sabe mas logo após uma invasão você sabe o que o
> cracker/hacker/lammer faz? Consertar a falha para que ninguém use a
> mesma brecha. Afinal, ninguém quer dividir a invasão com outro
> scriptkiddie.
>
> E por que você acha que algum atacante iria querer DERRUBAR A SUA
> MÁQUINA? Qual a LÓGICA em derrubar?
>
> Pense um pouquinho... só por dois segundos: se o cara enviar N mil
> conexões e derrubar o seu servidor SEM DESCOBRIR a vulnerabilidade,
> como é que ele vai explorar? O interesse dele não é DDoS, é USAR sua
> máquina. São antagônicos.
>
> Por favor, pare para pensar nesse ponto... qual a vantagem de derrubar
> um servidor o qual você pretende invadir? Estou falando de INVASÃO,
> não DDoS. Derrubar é DDoS. E não sou estudioso de ataques, mas em uma
> palestra na penúltima reunião do GTS de um grupo de segurança que
> investigou , esse povo que faz descarga de VoIP são muito bem
> organizados e a ÚLTIMA coisa que fariam é derrubar um servidor que
> querem usar. É muita, muita burrice fazer isso. Usando suas sábias
> palavras, "oh my god, uma sandice" derrubar algo que você quer usar.
> Por isso, um ataque micro - ou nano - é o mais recomendado.
>
> > Ah, tava esquecendo, não sei se sabe, mais o que aparece no console do
> > Asterisk pode ser facilmente jogado para um arquivo e virar log para
> > analise.
>
> E? E dai? O que adianta um log inválido? Com poucas informações ou
> informações inúteis? Com IP spoofado na maioria das vezes? Os IPs que
> vem nos ataques de brute force são geralmente spoofados...
>
> Não adianta gravar logs inúteis. O IP que aparece na maioria dos
> ataques (SIP HEADER) é spoofado.
>
> Não pesquisei a fundo mas não me lembro que o asterisk consiga
> capturar o IP verdadeiro. Mas talvez você possa me dar mais uma aula
> para todos nós que ainda estamos começando na vida, Você poderia
> compartlhar o seu script para pegar o IP verdadeiro da conexão
> TCP/UDP? Ai a gente pode gravar no próprio CDR... sem precisar confiar
> no SIP_HEADER, que, como eu disse, pode ser spoofado.
>
> Muito obrigado por sua ajuda!
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130731/1a08b0c4/attachment.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil