[lacnog] [LACNIC/Seguridad] Ataques DDoS basados en 'Chargen' ?

Carlos M. Martinez carlosm3011 en gmail.com
Lun Sep 2 15:32:16 BRT 2013


Hola Ivan,

la verdad que no he mirado la lista en detalle, solamente la clasifique
por ASN y me estuve conectando a algunas direcciones al azar,
efectivamente hay en servicios chargen respondiendo en muchisimas de ellas.

Yo creo como vos, que mas que una botnet estamos frente a algún
dispositivo que trae ese servicio por defecto, yo diria probablmente
algun modem DSL o FTTH, y que está siendo explotado por atacantes.

s2

~Carlos

On 9/2/13 3:17 PM, Iván Arce wrote:
> Hola Carlos,
> 
> Es articulo de Sans es de abril de este año, el tema se discutió en la
> lista de mail de Nanog en junio (http://seclists.org/nanog/2013/Jun/259).
> 
> Aparentemente la mayoría de los dispositivos que reflejan el tráfico son
> impresoras que vienen con el servicio habilitado por defecto, aunque no
> descartaría alguna marca/modelo de router ADSL específico o algun otro
> dispositivo, p.e. cámaras de vigilancia.
> 
> Encontraste algun patrón de ese tipo en lista de IPs ?
> 
> saludos,
> -ivan
> 
> On 9/2/13 2:46 PM, Carlos M. Martinez wrote:
>> Me han pasado datos de servidores chargen de la región de LACNIC que
>> habrían estado involucrados.
>>
>> Los top 20 ASNs de nuestra región involucrados en este ataque son:
>>
>> count| asn | cc | registry
>> 667|11888 | MX | lacnic
>> 530|6503 | MX | lacnic
>> 476|28573 | BR | lacnic
>> 370|26599 | BR | lacnic
>> 322|8151 | MX | lacnic
>> 314|27699 | BR | lacnic
>> 288|11172 | MX | lacnic
>> 241|7738 | BR | lacnic
>> 233|4230 | BR | lacnic
>> 216|18881 | BR | lacnic
>> 179|7465 | BR | lacnic
>> 171|10429 | BR | lacnic
>> 158|26596 | CO | lacnic
>> 140|8048 | VE | lacnic
>> 107|13878 | BR | lacnic
>> 100|26615 | BR | lacnic
>> 93|22085 | BR | lacnic
>> 78|10620 | CO | lacnic
>> 75|13489 | CO | lacnic
>> 74|262352 | BR | lacnic
>>
>> Tengo los datos de las IPs individuales, se los puedo pasar, pero me
>> tienen que convencer de que son (a) contacto del ORG-ID asociado al ASN,
>> o (b) un CSIRT / CERT activo en el país en cuestión y con
>> responsabilidad de coordinación. Para ello por favor me escriben *por
>> correo privado*
>>
>> s2
>>
>> ~Carlos
>>
>> On 9/2/13 11:40 AM, Luar Roji wrote:
>>> Yo lo uso diariamente, al igual que gopher, finger y talk! :P
>>>
>>>
>>> 2013/9/2 Carlos M. Martinez <carlosm3011 en gmail.com
>>> <mailto:carlosm3011 en gmail.com>>
>>>
>>>     https://isc.sans.edu/diary/15647
>>>
>>>     Y yo que pensé que chargen era algo que habíamos deshabilitado todos
>>>     circa 1999 :-)
>>>
>>>     s2
>>>
>>>     ~Carlos
>>>     _______________________________________________
>>>     LACNOG mailing list
>>>     LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>>>     https://mail.lacnic.net/mailman/listinfo/lacnog
>>>     Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>>     <mailto:lacnog-unsubscribe en lacnic.net>
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>>
>> _______________________________________________
>> Seguridad mailing list
>> Seguridad en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/seguridad
>>
> 
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
> 



Más información sobre la lista de distribución LACNOG