[BCOP] BCOP Proposal: "Posibles acciones a tomar ante un DDoS. "

Ariel Weher ariel at weher.net
Wed Oct 7 21:43:53 BRT 2015 

Como dije en un principio, la idea era tener un set de recomendaciones
básicas a seguir para poder demostrar al cliente que el carrier/isp no se
queda de brazos cruzados con respecto a los ataques hacia los clientes.

Además, durante el BoF mostraron una herramienta de Team Cymru. Adjunto el
link

http://www.team-cymru.org/UTRS/index.html

No la investigué demasiado, pero lo que entendí (perdón si entendí mal) es
que hay un set de peers BGP similar al de los bogons, pero esta vez los ISP
son los que anuncian redes que quieren que los demás pongan en null0.

Si bien este parece ser un proyecto pago, podríamos llegar a hacer uno
colaborativo entre los operadores de LAC.

S2!



2015-10-07 19:17 GMT-03:00 Alejandro D'Egidio <adegidio at telecentro.net.ar>:

> Hola Nicolás:
>
>     Claro, seguramente no expliqué el punto de vista de mi comentario.
> Como usuario final, creo que prácticamente no hay nada que uno pueda hacer
> para evitar un ataque por DDoS por esto es que creo que hay que trasladar
> esta responsabilidad a los Operadores/ISPs/Carriers, que fue desde donde
> encaré mis comentarios iniciales. Desde un ISP están todas las tecnologías
> disponibles para detectar y mitigar un ataque, solo resta que se invierta
> en este tipo de soluciones.
>
>     Ahora viendo tus comentarios, quizá yo interpreté mal el sentido de
> esta BCOP donde se intentaba ver desde otro punto de vista esto y no desde
> el punto de vista en que yo expresé mis comentarios. Si es así, les pido
> disculpas.
>
>
> Saludos,
>
>
> *Alejandro D'Egidio*Jefe de Ingeniería de Backbone
> adegidio at telecentro.net.ar
>
> Apolinario Figueroa 254 | Tel: 54 11 3977 1025
> C1414EDF | CABA | Argentina
>
> *TELECENTRO S.A.*
> ESTE MENSAJE ES CONFIDENCIAL. Puede contener información amparada por el
> secreto profesional. Si usted ha recibido este e-mail por error, por favor
> comuníquenoslo inmediatamente vía e-mail y tenga la amabilidad de
> eliminarlo de su sistema; no deberá copiar el mensaje ni divulgar su
> contenido a ninguna persona. Muchas gracias.
>
> THIS MESSAGE IS CONFIDENTIAL. It may also contain information that is
> privileged or otherwise legally exempt from disclosure. If you have
> received it by mistake please let us know by e-mail immediately and delete
> it from your system; should also not copy the message nor disclose its
> contents to anyone. Many thanks.
>
>
> ------------------------------
> *De: *"Nicolas Macia" <nmacia at cert.unlp.edu.ar>
> *Para: *bcop at lacnog.org
> *Enviados: *Miércoles, 7 de Octubre 2015 17:28:48
> *Asunto: *Re: [BCOP] BCOP Proposal: "Posibles acciones a tomar ante un
> DDoS. "
>
>
> Hola Alejandro, la idea que yo me lleve de la reunión, era ver si se podia
> hacer algo o no ante un ataque de DDOS con una botnet.
>
> En principio, uno no puede hacer mucho para evitar la DDOS, pero creo que
> estaría bueno que los operadores conozcan que acciones pueden realizar como
> para intentar bajar el C&C server (command and control) utilizado para
> instruir las acciones de los bots.
>
> Esto obviamente requiere coordinación y cooperación, pero no es imposible.
> Lo que no se es que tanto ruido/daño tiene que hacer como para que se actue
> con mas o menos celeridad.
>
>
> saludos
> nicolas
>
>
> El 07/10/15 a las 16:51, Alejandro D'Egidio escribió:
>
> Hola Ariel:
>
>     No sé si es que no hay mucho para hacer. Creo que en realidad depende
> en gran medida de un tema de inversión y compromiso por parte de los
> Carriers/ISPs. Hay diferentes arquitecturas y funcionalidades en cada tipo
> de tecnología para la detección, obviamente la mitigación ya pasa por un
> tema mas de "fuerza bruta" para aguantar ese tráfico.
>
>     Para la detección existen varias plataformas/soluciones que permiten
> hacer esto. Muchos de ellos se basan en un esquema de unbrales según cada
> tipo de tráfico (TCP, UDP, Puertos, Cantidad de flujos, etc), por ej:
>
>    - DPI: Muchos proveedores cuentan con esta tecnología y la mayoría de
>    estos cuenta con una funcionalidad de detección de DDoS en base a umbrales.
>    Una vez detectado el ataque se puede enviar traps de SNMP a una monitoria,
>    bloquear manual o automáticamente e incluso se puede realizar un HTTP
>    Redirect al cliente hacia un portal con información del ataque que se
>    filtro. Tengamos en cuenta en que el cliente puede ser parte generadora del
>    ataque (ej Virus) y se le tenga que bloquear el servicio por lo que en la
>    redicción HTTP ya tendría información de lo que pasa y con quién se puede
>    comunicar para solucionar su problema, etc. Obviamente esta platoforma
>    requiere que todo el tráfico pase a través de la misma para detectar y
>    mitigar.
>    - PeakFlow de ARBOR y similares: Este tipo de plataformas están
>    dedicadas a este tipo de problemas. Lo interesante es que no es necesario
>    que todo el tráfico esté pasando a través de ellos. Básicamente se
>    establece una sesión BGP con un Router de Borde por ejemplo y se exporta
>    Netflow a este equipo. El equipo va analizando todo el tráfico en base a la
>    información que recibe de netflow y cuando detecta un ataque inyecta un
>    prefijo BGP específico (apuntando a este equipo) para el destino atacado
>    provocando que el tráfico que va a ese destino sea redireccionado a él y de
>    esta manera mitigar el ataque puntual.
>    - Servicios de Carriers: Ya hay varios Carriers y soluciones "en la
>    nube" para mitigación de ataques de DDoS donde cada uno tiene su modalidad
>    de cobro. Para los servicios en la nube por lo general se instala un equipo
>    en el ISP el cual funciona como compresor/descompresor de tráfico y cache
>    para tráfico que es redireccionado desde puntos importantes como el NAP de
>    las Américas.
>    - Black Hole: Esta opción clásica se trata de que cuando un ISP
>    detecta un ataque a una IP en su red, se anuncia el prefijo atacado por BGP
>    con una comunidad determinada. Esto genera que en el Upstream Provider se
>    descarte todo tráfico a esta IP (null0). El problema claro de esto es que
>    el cliente atacado queda efectivamente sin servicio por lo que el ISP
>    termina "ayudando" al atacante. Esta solución por lo general es mas que
>    nada para no terminar afectando todos los servicios del ISP y evitar
>    congestión en vínculos.
>
>
>     Se podría avanzar en detalle sobre cada modelo.
>
> Saludos,
>
>
> *Alejandro D'Egidio *Jefe de Ingeniería de Backbone
> adegidio at telecentro.net.ar
>
> Apolinario Figueroa 254 | Tel: 54 11 3977 1025
> C1414EDF | CABA | Argentina
>
> *TELECENTRO S.A. *
> ESTE MENSAJE ES CONFIDENCIAL. Puede contener información amparada por el
> secreto profesional. Si usted ha recibido este e-mail por error, por favor
> comuníquenoslo inmediatamente vía e-mail y tenga la amabilidad de
> eliminarlo de su sistema; no deberá copiar el mensaje ni divulgar su
> contenido a ninguna persona. Muchas gracias.
>
> THIS MESSAGE IS CONFIDENTIAL. It may also contain information that is
> privileged or otherwise legally exempt from disclosure. If you have
> received it by mistake please let us know by e-mail immediately and delete
> it from your system; should also not copy the message nor disclose its
> contents to anyone. Many thanks.
>
>
> ------------------------------
> *De: *"Ariel Weher" <ariel at weher.net> <ariel at weher.net>
> *Para: *"This list is to discuss BCOPs in LACNOG" <bcop at lacnog.org>
> <bcop at lacnog.org>
> *Enviados: *Miércoles, 7 de Octubre 2015 16:13:57
> *Asunto: *[BCOP] BCOP Proposal: "Posibles acciones a tomar ante un DDoS. "
>
> Estimados:
>
> Si bien estamos de acuerdo que muchas veces no hay mucho que hacer, los
> participantes del BoF pidieron que elaboremos un listado de acciones a
> tomar para poder demostrar al cliente de que el carrier está haciendo lo
> posible por mitigar los ataques.
>
>
> El motivo de este e-mail es iniciar el thread. Adjunten sus comentarios en
> este correo.
>
> También debemos definir quién será el encargado del tema.
>
> Saludos!
>
> _______________________________________________
> BCOP mailing list
> BCOP at lacnog.org
> https://mail.lacnic.net/mailman/listinfo/bcop
>
>
>
> _______________________________________________
> BCOP mailing listBCOP at lacnog.orghttps://mail.lacnic.net/mailman/listinfo/bcop
>
>
>
> _______________________________________________
> BCOP mailing list
> BCOP at lacnog.org
> https://mail.lacnic.net/mailman/listinfo/bcop
>
>
> _______________________________________________
> BCOP mailing list
> BCOP at lacnog.org
> https://mail.lacnic.net/mailman/listinfo/bcop
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://mail.lacnic.net/pipermail/bcop/attachments/20151007/752fc578/attachment.html>

More information about the BCOP mailing list