Como fazer o mundo inteiro enviar denúncias de abuso ao seu melhor amigo

 (delroth.net)
1 pontos por GN⁺ 2024-10-30 | 1 comentários | Compartilhar no WhatsApp

Introdução

  • Este texto trata de uma experiência pessoal relacionada a segurança, redes e denúncias de abuso.
  • O autor recebeu uma denúncia de que seu servidor estava infectado por malware, mas, após investigar, confirmou que não havia problema.

Início do incidente

  • O autor recebeu um e-mail da Hetzner informando que seu endereço IP havia recebido uma denúncia de abuso.
  • Foram encontradas tentativas anormais de conexão SSH no servidor, mas, na realidade, em vez de conexões saindo do servidor para fora, pacotes TCP reset estavam sendo enviados de fora para o servidor.

IP spoofing

  • Na internet, IP spoofing é o ato de enviar pacotes falsificando o endereço IP de origem.
  • O BCP38 recomenda permitir apenas os endereços IP esperados ao transmitir pacotes IP entre redes, mas nem todas as redes seguem isso.

Hipótese sobre a motivação

  • O invasor falsifica o IP de origem e envia pedidos de conexão para a porta 22, o que faz com que denúncias de abuso automatizadas sejam geradas.
  • Isso pode ser um ataque direcionado a alguns nós da rede Tor.

Relação com o Tor

  • Os relays do Tor têm o papel de encaminhar tráfego anonimizado e não se conectam diretamente à internet externa.
  • No entanto, alguns usuários da internet não gostam do Tor e pode haver tentativas de desativá-lo.

Conclusão

  • A internet já tinha problemas 25 anos atrás e continua tendo.
  • O IP spoofing ainda é um problema, e regras de segurança como o BCP38 não são aplicadas corretamente.
  • Se você receber esse tipo de denúncia de abuso, saberá como explicar ao provedor de hospedagem que o servidor é a vítima.

# Resumo do GN⁺

  • Este texto aborda um problema de segurança relacionado a IP spoofing e explica sua ligação com a rede Tor.
  • Enfatiza a importância da segurança na internet e a necessidade do BCP38.
  • Projetos com funções semelhantes podem incluir várias ferramentas de segurança de rede.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-10-30
Comentário no Hacker News

  • O problema de IP spoofing é difícil de resolver porque agentes maliciosos e usuários inocentes podem usar a mesma desculpa

    • A internet já tinha esse problema há 25 anos e ele ainda não foi resolvido
    • O problema de endereços IP falsificados ainda existe em 2024, e a comunidade da internet não impõe regras de segurança para resolvê-lo

  • No passado, regras básicas de firewall foram implementadas, mas surgiram problemas por causa de pacotes falsificados

    • Pacotes falsificados foram recebidos de um IP específico, e as regras do firewall foram ajustadas para resolver isso
    • É importante operar vários endereços IP, e, se o ISP fizer filtragem baseada na origem, muda-se para outro ISP

  • Se você encontrar um provedor de trânsito que não faça filtragem BCP38, poderá enviar pacotes com o IP de origem que quiser

    • A origem da BCP38 remonta a 1998, mas ainda existem provedores de rede que não a implementam
    • Para impedir spoofing, é necessário rejeitar o tráfego de todos os AS que não implementam BCP38

  • A teoria de alguém que odeia relays Tor parece não ter valor

    • Pode ser uma tentativa de operar um relay malicioso enquanto remove relays legítimos

  • É um problema semelhante ao swatting, pois depende de as autoridades tomarem medidas sérias com base na origem não verificada de um problema

    • A diferença é que a reclamação é feita por meio de partes não relacionadas

  • No passado, refletores DrDoS foram escaneados, e provedores de nuvem receberam um grande volume de reclamações

    • O servidor que envia pacotes de varredura falsificados não é detectado e pode escanear a internet repetidamente
    • É possível rastrear a origem de pacotes falsificados, mas isso exige cooperação com o provedor de trânsito

  • O sistema não deveria reportar abuso automaticamente por causa de um único pacote; isso só deveria acontecer em caso de tráfego em nível de negação de serviço

    • No caso de SSH, não é uma tentativa de conexão válida até que o handshake ocorra

  • IP spoofing é um problema semelhante a swatting, patent trolling e incriminar pessoas inocentes

    • É uma forma de atacar alvos de que não se gosta usando mecanismos de proteção contra abuso como arma
    • As autoridades podem se tornar o ponto fraco e ser instrumentalizadas por agentes maliciosos

  • Se você sequestrar o ataque e enviar pacotes para todo mundo, pode fazer com que os provedores fiquem sobrecarregados com emails de abuso e o ataque deixe de funcionar

    • O honeypot pode não enviar emails de abuso, ou o provedor pode filtrá-los