Não dá pra jogar... e como ficamos nós, que pagamos?

[GrYllO]

Ninguém na Cipsoft cometeu erros ao configurar o firewall e, muito menos, desconhecem como desbloquear uma faixa de IPs. Só pra traduzir a ironia do Gryllo (que você não entendeu): é extremamente fácil desbloquear a faixa de IPs para os players acessarem, exceto pelo fato de que grande parte dos IPs que atacam os servidores com pacotes inúteis pertencem a essas faixas.

E não, não seria mais fácil ficar vendo logs e sair bloqueando IPs um a um. Eles bloquearam a faixa de IPs 177.0.0.0. Isso significa que 16.777.216 IPs estão bloqueados. É humanamente impossivel fazer isso.

O que está acontecendo, e que já foi dito no tópico oficial (http://forum.tibia.com/forum/?action...readid=4367691) é o seguinte: a Cipsoft utiliza os serviços da Prolexic para filtrar pacotes, ou seja, permitir que dados reais, de instruções do jogo, sejam enviados aos servidores e barrar pacotes falsos, que só estão indo aos servidores para causar negação de serviço.

A galera encontrou uma brecha nos filtros da Prolexic, e estão usando essa brecha pra enviar os pacotes e derrubar o jogo. Nesse ponto, a Cipsoft e a Prolexic trabalham juntos para identificar os pacotes, para que a Prolexic possa fechar a brecha e filtrá-los corretamente. De acordo com o feedback de hoje (http://forum.tibia.com/forum/?action...7#post36984321) a Prolexic já está conseguindo filtrar melhor, e alguns já conseguem acessar.

É questão de tempo...logo a situação normaliza. Problemas com DDoS não são triviais.

Ufa! Finalmente alguém compreendeu a extensão do problema!

Se vc verificar esse post que vc deu quote meu e o que foi dito aqui http://www.tibiabr.com/2015-05-29-pronunciamentoUmrath verá que estou certo e apenas foi dito com outras palavras a mesma coisa.

Cometeu erros sim, se não cometesse não teria bloqueado quem não faz parte de ataques isso é obvio, não precisa nem ser do ramo para saber que o pensamento deles é ridiculo e desesperado para parar com os ataques. O pensamento é mais ou menos assim "Se temos ataques partindo de IP's Brasileiros vamos bloquear o Brasil inteiro e não tomamos mais ataques" é eficiente para parar os ataques mais é um pensamento extremamente burro "vamos prejudicar uma parte dos clientes para não prejudicar todos", o pensamento deveria ser "vamos bloquear apenas os nº IP que estão nos atacando e assim não prejudicar nenhum cliente".

Uma situação que pode acontecer:
Vamos na lógica da Cipsoft então se fosse um ataque DDoS com IP randômico (aleatório), nesse caso o que fariam então? Iriam bloquear todos os jogadores ou iriam aceita-los e continuar tomando os ataques ? Ou iriam tomar a atitude certa que é configurar direito as regras do Firewall e bloquear somente IP's que fazem parte do ataque ao invés de faixas ?

Você está tomando a Prolexic (que é considerada uma das melhores - se não for a melhor - empresa anti-DDoS do planeta) por amadores.

Não é uma simples questão de bloquear/desbloquear faixas de IP. Há análise dos dados, padrões, etc.

Por qual razão conseguiram atacar sem que a Prolexic conseguisse combater? Os atacantes conseguiram imitar o fluxo de dados de uma conexão legítima de um jogador até os servidores. Logo, é muito mais difícil fazer o "cara, crachá" destas conexões. Aos poucos, estão aprendendo o padrão e possíveis falhas que ele possui em relação a um fluxo legítimo - consequentemente, os jogadores legítimos conseguirão entrar.

Quase me esqueço: não levo um kick há dias... Eu diria que pelo menos há mais de uma semana.

Hoje mesmo, após ler o [POSTTIBIABR=6895697]anúncio do Umrath[/POSTTIBIABR], fui capaz de me conectar sem proxy ao Tibia através do TFC com um IP iniciado em 177.x.x.x



Mas outros jogadores com a mesma faixa de IP reportaram que não conseguiram. Viu? Não é uma simples questão de faixa de IP.

Em tempo: até a CipSoft não está satisfeita com a atuação da Prolexic. Mas aí eu me pergunto: se os melhores do planeta não são capazes, quem será?

[Scarela]

Se vc verificar esse post que vc deu quote meu e o que foi dito aqui http://www.tibiabr.com/2015-05-29-pronunciamentoUmrath verá que estou certo e apenas foi dito com outras palavras a mesma coisa.

Meu caro, o que você está dizendo continua sendo totalmente absurdo e fica evidente que você não tem qualquer conhecimento em relação ao tipo de ataque que a Cipsoft está enfrentando. Faria algum sentido se, no caso, a intenção fosse bloquear meia dúzia de usuários específicos.

Não existe uma receita de bolo, a estratégia para limitar o ataque varia de acordo com a situação.

Cometeu erros sim, se não cometesse não teria bloqueado quem não faz parte de ataques isso é obvio, não precisa nem ser do ramo para saber que o pensamento deles é ridiculo e desesperado para parar com os ataques. O pensamento é mais ou menos assim "Se temos ataques partindo de IP's Brasileiros vamos bloquear o Brasil inteiro e não tomamos mais ataques" é eficiente para parar os ataques mais é um pensamento extremamente burro "vamos prejudicar uma parte dos clientes para não prejudicar todos", o pensamento deveria ser "vamos bloquear apenas os nº IP que estão nos atacando e assim não prejudicar nenhum cliente".

Uma coisa é você ter "alguns ataques partindo de IPs brasileiros", outra coisa é você ter uma porcentagem absurda (se não 100%) dos ataques partindo de IPs brasileiros.

Primeiro, os pacotes de dados trafegados para o servidor não possuem uma etiqueta dizendo "eu sou um pacote falso!". Os dados utilizados para nukar o servidor são camuflados, justamente para dificultar que a(s) vitima(s) os reconheça. Segundo, uma faixa de IPs (ipv4) possui mais de 16 milhões de IPs...é totalmente inviável você pensar que alguém vai ficar com a cara em logs de dados que são enviados para o servidor, tentando identificar qual pacote é verdadeiro ou falso.

O que você falou não tem absolutamente nada a ver com o pronunciamento do Umrath. Como ele explica no tópico oficial, pacotes verdadeiros e falsos se misturam. Não se trata de ficar bloqueando IPs, não é isso que a Prolexic faz. Se trata de identificar qual pacote deve chegar aos servidores e qual deve ser barrado...e, mais uma vez, não se identifica esse tipo de coisa lendo logs de cada dado enviado...existem várias técnicas de heurística para detectar padrões nesses pacotes.

A sua afirmação de "vamos bloquear apenas os nº IP que estão nos atacando e assim não prejudicar nenhum cliente" é, no mínimo, infantil. Não é preciso desenhar pra entender que o buraco é muito mais embaixo.

Uma situação que pode acontecer:
Vamos na lógica da Cipsoft então se fosse um ataque DDoS com IP randômico (aleatório), nesse caso o que fariam então? Iriam bloquear todos os jogadores ou iriam aceita-los e continuar tomando os ataques ? Ou iriam tomar a atitude certa que é configurar direito as regras do Firewall e bloquear somente IP's que fazem parte do ataque ao invés de faixas ?

Se fosse um ataque global a Cipsoft e a Prolexic analisariam a situação a partir desse ponto de vista. Quando se trata de problemas assim, você dança conforme a música.

O ataque foi identificado por eles como tendo origem no Brasil. É óbvio que muitos players são inocentes e não mereciam estar impedidos de entrar de jogo. Agora, pare de pensar como um usuário e pense como uma empresa: o Tibia é um jogo global. A medida de bloquear uma faixa de IPs do Brasil foi uma medida desesperada, concordo (afinal, grande parte dos clientes deles são brasileiros), mas se, fazendo isso, eles conseguem barrar parte dos ataques para manter pessoas do resto do mundo jogando com o minimo de kicks possíveis, é uma medida totalmente cabível.

Por favor, pare de tentar ficar pintando o problema como se fosse só bloquear meia dúzia de IPs e como se fosse tudo a coisa mais fácil do mundo. A medida de bloquear IPs foi uma solução paliativa até que se chegue a uma solução real...se o problema todo fosse simples assim, não estaria se prolongando até agora.

[Water Spot]

Agradeço imensamente a quem corrigiu o título do tópico s2

@
O que muita gente parece não ter entendido é que quem bloqueou essas faixas de ip não foi a CIP, e sim a prolexic. Enquanto todo mundo aqui fica revoltado brigando, eles estão lá tentando resolver o problema .As coisas acontecem nos bastidores, nem faz sentido ficar explicando cada passo deles. Lógico que é péssimo -principalmente pra eles- que fiquemos sem jogar, mas foi o que deu por enquanto.

Aliás, eu não tive problema de login nenhum dia (sei que sou exceção anyways), e, assim como o Gryllo, não tenho visto nenhum problema de kicks há um bom tempo (coincidentemente ou não, desde que tais ips foram bloqueados.

[Chbohn]

Agradeço imensamente a quem corrigiu o título do tópico s2

@
O que muita gente parece não ter entendido é que quem bloqueou essas faixas de ip não foi a CIP, e sim a prolexic. Enquanto todo mundo aqui fica revoltado brigando, eles estão lá tentando resolver o problema .As coisas acontecem nos bastidores, nem faz sentido ficar explicando cada passo deles. Lógico que é péssimo -principalmente pra eles- que fiquemos sem jogar, mas foi o que deu por enquanto.

Aliás, eu não tive problema de login nenhum dia (sei que sou exceção anyways), e, assim como o Gryllo, não tenho visto nenhum problema de kicks há um bom tempo (coincidentemente ou não, desde que tais ips foram bloqueados.

Só não imagine que porque tu e mais alguns não tiveram/tem problema algum para logar os que estão reclamando estão inventando um problema. Só para constar eu continuo tendo que reiniciar o meu modem diversas vezes (geralmente 5 ou 6 vezes e em alguns casos mais de 10 vezes) até conseguir logar. Cada uma dessas reiniciadas leva 4 minutos até que o modem sincronize o sinal... por aí tu veja o tempo que perco cada vez que quero jogar (as vezes eu desanimo e desisto). E pense em quem tem um ip que não muda quando reinicia o modem (há vários relatos nos últimos dias)...

Quanto ao erro de concordância no título.. (demorou mas eu percebi )....e.... está corrigido!!!

[Water Spot]

Só não imagine que porque tu e mais alguns não tiveram/tem problema algum para logar os que estão reclamando estão inventando um problema. Só para constar eu continuo tendo que reiniciar o meu modem diversas vezes (geralmente 5 ou 6 vezes e em alguns casos mais de 10 vezes) até conseguir logar. Cada uma dessas reiniciadas leva 4 minutos até que o modem sincronize o sinal... por aí tu veja o tempo que perco cada vez que quero jogar (as vezes eu desanimo e desisto). E pense em quem tem um ip que não muda quando reinicia o modem (há vários relatos nos últimos dias)...

Quanto ao erro de concordância no título.. (demorou mas eu percebi )....e.... está corrigido!!!

Mas eu também fui afetado. Os kicks só pararam agora, eu não podia sair pra caçar, só não acho isso o fim do mundo, como a maioria.

Aliás, é óbvio que vai rolar alguma compensação, por isso não entendo a revolta toda. Relaxa galera.

[Skiann Torphyx]

Eu nem estava ligando para os kicks, pelo menos dava para entrar e ir fazer quest, checar algum boss e principalmente colocar no treino offline. Enfim, estou completando 20 dias sem logar em Luminera e Justera, mas só resta esperar.

[LuKa$]

Ufa! Finalmente alguém compreendeu a extensão do problema!

Você está tomando a Prolexic (que é considerada uma das melhores - se não for a melhor - empresa anti-DDoS do planeta) por amadores.

Não é uma simples questão de bloquear/desbloquear faixas de IP. Há análise dos dados, padrões, etc.

Por qual razão conseguiram atacar sem que a Prolexic conseguisse combater? Os atacantes conseguiram imitar o fluxo de dados de uma conexão legítima de um jogador até os servidores. Logo, é muito mais difícil fazer o "cara, crachá" destas conexões. Aos poucos, estão aprendendo o padrão e possíveis falhas que ele possui em relação a um fluxo legítimo - consequentemente, os jogadores legítimos conseguirão entrar.

Quase me esqueço: não levo um kick há dias... Eu diria que pelo menos há mais de uma semana.

Hoje mesmo, após ler o [POSTTIBIABR=6895697]anúncio do Umrath[/POSTTIBIABR], fui capaz de me conectar sem proxy ao Tibia através do TFC com um IP iniciado em 177.x.x.x



Mas outros jogadores com a mesma faixa de IP reportaram que não conseguiram. Viu? Não é uma simples questão de faixa de IP.

Em tempo: até a CipSoft não está satisfeita com a atuação da Prolexic. Mas aí eu me pergunto: se os melhores do planeta não são capazes, quem será?

Gryllo da forma que vc postou parece que os atacantes são os maiores crackers do planeta em relação a ataques DDoS.

De maneira alguma estou chamando a Prolexic de amadora, acontece que eles protegem o que lhes é passado pela Cipsoft, por exemplo, se dentro dos 244 + 4 nº IP que eles tem que proteger que são da Cipsoft a mesma não passar algum desses nº IP e o "cracker" (atacante) fizer um ataque sob algum IP desprotegido pela Prolexic o ataque passa independente do filtro que for usado pela Prolexic.

Um mundo do Tibia tem 1 IP principal e 3 alternativos, logo se a Prolexic só protege o IP principal e os atacantes usam o alternativo para atingi-los o ataque passa o filtro que fizeram no IP principal porque não foi replicada para os IP's alternativos as mesmas regras. Óbvio que a Prolexic sabe disso pois trabalha com isso, o que não acredito é que a Cipsoft tenha passado tudo que deveria para a Prolexic por isso os atacantes acharam uma brecha.

A história que dizem que o ataque parte de um IP do Brasil então bloquearam as faixas do nº IP seria fácilmente burlada pelo atacante se ele tiver o mínimo de cérebro sabe-se que existem várias e várias ferramentas para ataques DDoS que spoffam IP e também atacam com IP randômico (pense pelo lado de um atacante o quão simples é resolver uma situação desta).

O que realmente acredito:

- Ou alguma regra foi mal configurada no Firewall e bloqueou sem querer algumas faixas de IP Brasileira no momento do ataque
- Algum cara se enganou e bloqueou as faixas "manualmente falando"
- Cipsoft está mentindo sob os ataques terem sido partidos de nº IP Brasileiros ( opção mais possível na minha opinião).

- - - Atualizado - - -

@Scarela

.

Primeiro, os pacotes de dados trafegados para o servidor não possuem uma etiqueta dizendo "eu sou um pacote falso!". Os dados utilizados para nukar o servidor são camuflados, justamente para dificultar que a(s) vitima(s) os reconheça. Segundo, uma faixa de IPs (ipv4) possui mais de 16 milhões de IPs...é totalmente inviável você pensar que alguém vai ficar com a cara em logs de dados que são enviados para o servidor, tentando identificar qual pacote é verdadeiro ou falso.

Existe uma coisa chamada Firewall e ele é configurado por um ser humano que lhe dá regras de comportamento conforme a situação, óbvio que não disse para um ser humano olhar milhões de logs e identificar quem é quem manualmente.

O que você falou não tem absolutamente nada a ver com o pronunciamento do Umrath. Como ele explica no tópico oficial, pacotes verdadeiros e falsos se misturam. Não se trata de ficar bloqueando IPs, não é isso que a Prolexic faz. Se trata de identificar qual pacote deve chegar aos servidores e qual deve ser barrado...e, mais uma vez, não se identifica esse tipo de coisa lendo logs de cada dado enviado...existem várias técnicas de heurística para detectar padrões nesses pacotes.

pacotes verdadeiros e falsos se misturam. Não se trata de ficar bloqueando IPs, não é isso que a Prolexic faz.

Se trata de identificar qual pacote deve chegar aos servidores e qual deve ser barrado

Entendo que vc se contradiz no mesmo trecho pois em um vc diz que "não se trata de ficar bloqueando IPs" e outro vc diz que "se trata de identificar qual pacote deve chegar aos servidores e qual deve ser barrado" - se deve ser barrado logo um IP é bloqueado de continuar seu caminho até seu destino, então sua segunda frase derruba a primeira.

A sua afirmação de "vamos bloquear apenas os nº IP que estão nos atacando e assim não prejudicar nenhum cliente" é, no mínimo, infantil. Não é preciso desenhar pra entender que o buraco é muito mais embaixo.

Descordo, não é infantil e é possível de ser feito, é um fato que a Cipsoft para barrar os ataques bloqueou usuários inocentes, sobre o "buraco ser muito mais embaixo" eu já disse acima mais vou repetir aqui para você:

A história que dizem que o ataque parte de um IP do Brasil então bloquearam as faixas do nº IP seria fácilmente burlada pelo atacante se ele tiver o mínimo de cérebro sabe-se que existem várias e várias ferramentas para ataques DDoS que spoffam IP e também atacam com IP randômico (pense pelo lado de um atacante o quão simples é resolver uma situação desta).

.

Você realmente acredita que os ataques pararam porque a Cipsoft bloqueou uma faixa de IP Brasileiro que fazia parte do ataque? Vc acha mesmo que o atacante não saberia solucionar isto de forma simples ? Desculpa mas é inocência da sua parte.

[Scarela]

Gryllo da forma que vc postou parece que os atacantes são os maiores crackers do planeta em relação a ataques DDoS.

De maneira alguma estou chamando a Prolexic de amadora, acontece que eles protegem o que lhes é passado pela Cipsoft, por exemplo, se dentro dos 244 + 4 nº IP que eles tem que proteger que são da Cipsoft a mesma não passar algum desses nº IP e o "cracker" (atacante) fizer um ataque sob algum IP desprotegido pela Prolexic o ataque passa independente do filtro que for usado pela Prolexic.

Um mundo do Tibia tem 1 IP principal e 3 alternativos, logo se a Prolexic só protege o IP principal e os atacantes usam o alternativo para atingi-los o ataque passa o filtro que fizeram no IP principal porque não foi replicada para os IP's alternativos as mesmas regras. Óbvio que a Prolexic sabe disso pois trabalha com isso, o que não acredito é que a Cipsoft tenha passado tudo que deveria para a Prolexic por isso os atacantes acharam uma brecha.

A história que dizem que o ataque parte de um IP do Brasil então bloquearam as faixas do nº IP seria fácilmente burlada pelo atacante se ele tiver o mínimo de cérebro sabe-se que existem várias e várias ferramentas para ataques DDoS que spoffam IP e também atacam com IP randômico (pense pelo lado de um atacante o quão simples é resolver uma situação desta).

O que realmente acredito:

- Ou alguma regra foi mal configurada no Firewall e bloqueou sem querer algumas faixas de IP Brasileira no momento do ataque
- Algum cara se enganou e bloqueou as faixas "manualmente falando"
- Cipsoft está mentindo sob os ataques terem sido partidos de nº IP Brasileiros ( opção mais possível na minha opinião).

- - - Atualizado - - -

@Scarela




Existe uma coisa chamada Firewall e ele é configurado por um ser humano que lhe dá regras de comportamento conforme a situação, óbvio que não disse para um ser humano olhar milhões de logs e identificar quem é quem manualmente.






Entendo que vc se contradiz no mesmo trecho pois em um vc diz que "não se trata de ficar bloqueando IPs" e outro vc diz que "se trata de identificar qual pacote deve chegar aos servidores e qual deve ser barrado" - se deve ser barrado logo um IP é bloqueado de continuar seu caminho até seu destino, então sua segunda frase derruba a primeira.



Descordo, não é infantil e é possível de ser feito, é um fato que a Cipsoft para barrar os ataques bloqueou usuários inocentes, sobre o "buraco ser muito mais embaixo" eu já disse acima mais vou repetir aqui para você:

.

Você realmente acredita que os ataques pararam porque a Cipsoft bloqueou uma faixa de IP Brasileiro que fazia parte do ataque? Vc acha mesmo que o atacante não saberia solucionar isto de forma simples ? Desculpa mas é inocência da sua parte.

Se você chegou no nível de achar que bloquear um IP é a mesma coisa que filtrar pacotes de dados, você realmente não tem noção do que está falando.

Simplesmente não adianta discutir com você...tanto que é que essa é minha última resposta a você. Se você chegou no nível de ser ironizado pelo Gryllo, já nem preciso perder tempo :L

Esse link talvez seja útil pra você:

http://www.prolexic.com/careers.html

[LuKa$]

Se você chegou no nível de achar que bloquear um IP é a mesma coisa que filtrar pacotes de dados, você realmente não tem noção do que está falando.

Simplesmente não adianta discutir com você...tanto que é que essa é minha última resposta a você. Se você chegou no nível de ser ironizado pelo Gryllo, já nem preciso perder tempo :L

Esse link talvez seja útil pra você:

http://www.prolexic.com/careers.html

Para uma requisição seja ela qual for os protocolos o pacote de dados é enviado com um endereço IP, logo se vc tem um padrão para filtrar determinado pacotes fora do padrão pré-determinado com suas regras e barra-lo vc está bloqueando o endereço IP de seguir seu destino (apenas com aqueles determinados pacotes fora do padrão), não com pacotes normais, vc interpretou direito o que eu disse? Nenhum momento eu disse que bloquear um IP é mesma coisa que filtrar pacotes de dados nem ao menos dei entender, se vc está bloqueando um IP em um ataque é justamente por essa causa, não está bloqueando porque vc não achou o número bonito, não faz sentido algum o que vc postou.

Eu gostaria que vc argumentasse ao invés de fazer um post "agressivo" desse tipo, pegou apenas uma parte do meu texto no qual refutei todos seu argumentos e não respondeu.

Mas fica aqui minha interpretação em relação ao último post do Gryllo deste tópico e seus posts:

- Vcs acreditam que os ataques realmente pararam porque a Cipsoft disse que os ataques partiam de nº IP Brasileiros e foram bloqueados.
- Vcs acreditam que não há nenhum erro de regra no Firewall da Cipsoft / Prolexic ( deve ser por isso que não tivemos mass kicks esse ano, f1 Cipsoft calma galera ta tudo sob controle, tudo block !!!1 estamos trabalhando duro ).
- Vcs realmente acreditam que os atacantes não teriam a capacidade de spoofar um IP para fazer um ataque DDoS ( que burlaria as faixas de IP Brasileiras bloqueadas pela Cipsoft ).
- Vcs acham que os atacantes são super crackers Kevin Mitnick's porque conseguem bypass o filtro da Prolexic / Cipsoft.

@Tópico

Alguém poderia cobrar da Cipsoft para que comuniquem os CSIRTS (Grupos de Resposta a Incidentes de Segurança em Computadores) já que disseram que o ataque parte daqui aqui está a lista Brasileira e realmente é um orgão que funciona aqui no Brasil (milagre).

CSIRTS Brasil
http://www.cert.br/csirts/brasil/

CSIRTS com Resposabilidade Nacional
https://www.cert.org/incident-manage...nal-csirts.cfm

CSIRTS Europeus
https://www.trusted-introducer.org/directory/

América Latina e Caribe
http://www.lacnic.net/en/web/lacnic/csirts

Ásia e Oceania
http://www.apcert.org/about/structure/members.html

Todos http://www.cert.br/csirts/

Para quem nunca viu ou não sabe o que é: http://www.cert.br/sobre/

[Chbohn]

Genial o sistema de compensação!!....
Já que estou impossibilitado de logar (ip ruim), vou passar o meu tempo adquirindo as novas montarias e outfits lançados hoje,dia 08/06....Acho q vou comprar umas 4 de cada hj só pra começar....