1. Home
  2. >
  3. Uncategorized
  4. >
  5. Atualizações da Deflect – 3 – 2022
Categorias
DDoS Desviar Notícias da Deflect Labs Uncategorized

Atualizações da Deflect – 3 – 2022

Este foi um mês movimentado para as ferramentas de mitigação do Deflect, com o Banjax bloqueando quase 12 milhões de solicitações maliciosas lançadas por 108.294 bots diferentes. Devido à guerra na Ucrânia, muitas pessoas recorreram aos sites de mídia ucranianos protegidos pelo Deflect em busca de informações. Ao longo do mês, a Deflect atendeu 1.128.751.920 solicitações (quase o dobro do mês anterior), das quais 283.570.50 vieram da Ucrânia — cerca de 20% do nosso tráfego global. 1.277.053 ucranianos acessaram sites protegidos pelo Deflect — o que também atesta a estabilidade da Internet naquele país.

Público ucraniano em março, por cidade

O maior ataque registrado neste mês foi contra o informator.ua — um site de notícias de abrangência nacional na Ucrânia, com foco na região de Donbas.

No dia 31 de março, entre 07h45 e 08h50 GMT+0 , cerca de 1.300 endereços IP únicos foram bloqueados pelo Deflect ao atacarem o site informator.ua com as solicitações GET /ru?8943563843054274 e POST /ru?829986440416200, utilizando técnicas de cache-busting. Esses bots eram originários do Brasil, dos EUA, da Indonésia, da Índia, de Bangladesh e de muitos outros países; cerca de 1.000 deles parecem ser roteadores MikroTik infectados. Várias centenas eram servidores web comprometidos e proxies SOCKS. Houve uma interrupção parcial neste site por cerca de uma hora, pois o Deflect não conseguiu mitigar esse ataque com rapidez suficiente para garantir que nenhuma solicitação maliciosa atingisse o servidor de origem. O sistema Baskerville não reagiu como esperado (isso já foi corrigido). Habilitamos o Challenger para este domínio a fim de garantir que possamos mitigar futuros ataques sem causar problemas para a origem. Nosso sistema de agregação e análise de logs foi afetado pelo volume total de solicitações e ficou fora de sincronia por um curto período de tempo.

Os invasores geraram mais de 300.000 solicitações por minuto. Como você pode ver, uma quantidade significativa de bots tinha origem nos Estados Unidos. Esse é mais um lembrete importante para que você aplique as atualizações de segurança em seus sistemas de computador e outros dispositivos conectados à Internet. Caso contrário, pode ser o seu próprio sistema que esteja atacando sites ucranianos também!
Principais IPs únicos bloqueados por fornecedor

    912 MikroTikRouter
    232 Desconhecido
     51 UbuntuServer
     44 Torrouter
     33 DebianServer
     16 WindowsServer
      6 WindowsSystem
      6 RedHatServer
      4 CentOSLinuxServer

Principais IPs únicos bloqueados por serviço

    875 MikroTik
    232
     49 Ubuntu-ssh
     44 Cabeçalho HTTP do roteador de saída do Tor
     33 Cabeçalho SSH do Debian
     13 Informações SNMP do MikroTik
     10 Servidor FTP do MikroTik
      8 MikroTikPPTPserver
      7 WindowsRDPServer
      7 MSIISheader
      6 WindowsNetBIOS
      6 RedHatDNSheader
      5 MikrotikRouterOSconfigurationpage
      4 ApacheCentOS
      2 WindowswithMSHTTPAPIWebServer

por client_url:

199940     /ru
102142     /ru/categoria/negócios/login
37312      /ru/negociações-entre-a-ucrania-e-a-rússia-em-istambul-resultados
3          /ru/post-anterior/45573