<html><body><div style="font-family: Times New Roman; font-size: 12pt; color: #000000"><div>Hola Ariel:<br></div><div><br></div><div> No sé si es que no hay mucho para hacer. Creo que en realidad depende en gran medida de un tema de inversión y compromiso por parte de los Carriers/ISPs. Hay diferentes arquitecturas y funcionalidades en cada tipo de tecnología para la detección, obviamente la mitigación ya pasa por un tema mas de "fuerza bruta" para aguantar ese tráfico.</div><div><br></div><div> Para la detección existen varias plataformas/soluciones que permiten hacer esto. Muchos de ellos se basan en un esquema de unbrales según cada tipo de tráfico (TCP, UDP, Puertos, Cantidad de flujos, etc), por ej:</div><div><ul><li>DPI: Muchos proveedores cuentan con esta tecnología y la mayoría de estos cuenta con una funcionalidad de detección de DDoS en base a umbrales. Una vez detectado el ataque se puede enviar traps de SNMP a una monitoria, bloquear manual o automáticamente e incluso se puede realizar un HTTP Redirect al cliente hacia un portal con información del ataque que se filtro. Tengamos en cuenta en que el cliente puede ser parte generadora del ataque (ej Virus) y se le tenga que bloquear el servicio por lo que en la redicción HTTP ya tendría información de lo que pasa y con quién se puede comunicar para solucionar su problema, etc. Obviamente esta platoforma requiere que todo el tráfico pase a través de la misma para detectar y mitigar.</li><li>PeakFlow de ARBOR y similares: Este tipo de plataformas están dedicadas a este tipo de problemas. Lo interesante es que no es necesario que todo el tráfico esté pasando a través de ellos. Básicamente se establece una sesión BGP con un Router de Borde por ejemplo y se exporta Netflow a este equipo. El equipo va analizando todo el tráfico en base a la información que recibe de netflow y cuando detecta un ataque inyecta un prefijo BGP específico (apuntando a este equipo) para el destino atacado provocando que el tráfico que va a ese destino sea redireccionado a él y de esta manera mitigar el ataque puntual.</li><li>Servicios de Carriers: Ya hay varios Carriers y soluciones "en la nube" para mitigación de ataques de DDoS donde cada uno tiene su modalidad de cobro. Para los servicios en la nube por lo general se instala un equipo en el ISP el cual funciona como compresor/descompresor de tráfico y cache para tráfico que es redireccionado desde puntos importantes como el NAP de las Américas.</li><li>Black Hole: Esta opción clásica se trata de que cuando un ISP detecta un ataque a una IP en su red, se anuncia el prefijo atacado por BGP con una comunidad determinada. Esto genera que en el Upstream Provider se descarte todo tráfico a esta IP (null0). El problema claro de esto es que el cliente atacado queda efectivamente sin servicio por lo que el ISP termina "ayudando" al atacante. Esta solución por lo general es mas que nada para no terminar afectando todos los servicios del ISP y evitar congestión en vínculos.</li></ul><div><br></div><div> Se podría avanzar en detalle sobre cada modelo.</div><div><br></div><div>Saludos,</div></div><div><span name="x"></span><p><b><span face="arial, helvetica, sans-serif" data-mce-style="font-family: arial, helvetica, sans-serif;" style="font-family: arial, helvetica, sans-serif;">Alejandro D'Egidio<br></span></b><span face="arial, helvetica, sans-serif" size="2" data-mce-style="font-family: arial, helvetica, sans-serif; font-size: small;" style="font-family: arial, helvetica, sans-serif; font-size: small;">Jefe de Ingeniería de Backbone</span><br><span face="arial, helvetica, sans-serif" data-mce-style="font-family: arial, helvetica, sans-serif;" style="font-family: arial, helvetica, sans-serif;"><span style="font-size: small; color: rgb(31, 73, 125);"><a href="mailto:adegidio@telecentro.net.ar">adegidio@telecentro.net.ar</a></span></span></p><p><span face="arial, helvetica, sans-serif" data-mce-style="font-family: arial, helvetica, sans-serif;" style="font-family: arial, helvetica, sans-serif;"><span size="2" data-mce-style="font-size: small;" style="font-size: small;">Apolinario
Figueroa 254 | Tel: 54 11 3977 1025</span><br><span size="2" data-mce-style="font-size: small;" style="font-size: small;">C1414EDF | CABA
| Argentina</span><br><b><span size="2" data-mce-style="font-size: small;" style="font-size: small;">TELECENTRO S.A.</span><br></b><span size="1" data-mce-style="font-size: xx-small;" style="font-size: xx-small;"><o:p><br></o:p>ESTE MENSAJE ES
CONFIDENCIAL. Puede contener información amparada por el secreto profesional.
Si usted ha recibido este e-mail por error, por favor comuníquenoslo
inmediatamente vía e-mail y tenga la amabilidad de eliminarlo de su sistema; no
deberá copiar el mensaje ni divulgar su contenido a ninguna persona. Muchas
gracias.<br> <br>THIS MESSAGE IS
CONFIDENTIAL. It may also contain information that is privileged or otherwise
legally exempt from disclosure. If you have received it by mistake please let
us know by e-mail immediately and delete it from your system; should also not
copy the message nor disclose its contents to anyone. Many thanks.</span></span></p>
<p class="MsoNormal" style="font-size: 12pt; font-family: 'Times New Roman';"><o:p></o:p></p>
<p class="MsoNormal" style="font-size: 12pt; font-family: 'Times New Roman';"><o:p></o:p></p>
<p class="MsoNormal" style="font-size: 12pt; font-family: 'Times New Roman';"><o:p></o:p></p>
<p class="MsoNormal" style="font-size: 12pt; font-family: 'Times New Roman';"><o:p></o:p></p>
<p class="MsoNormal" style="font-size: 12pt; font-family: 'Times New Roman';"><o:p></o:p></p><span name="x"></span><br></div><hr id="zwchr"><div style="color:#000;font-weight:normal;font-style:normal;text-decoration:none;font-family:Helvetica,Arial,sans-serif;font-size:12pt;"><b>De: </b>"Ariel Weher" <ariel@weher.net><br><b>Para: </b>"This list is to discuss BCOPs in LACNOG" <bcop@lacnog.org><br><b>Enviados: </b>Miércoles, 7 de Octubre 2015 16:13:57<br><b>Asunto: </b>[BCOP] BCOP Proposal: "Posibles acciones a tomar ante un DDoS. "<br><div><br></div><div dir="ltr"><div class="gmail_default" style="font-family:monospace,monospace">Estimados:<br></div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style="font-family:monospace,monospace">Si bien estamos de acuerdo que muchas veces no hay mucho que hacer, los participantes del BoF pidieron que elaboremos un listado de acciones a tomar para poder demostrar al cliente de que el carrier está haciendo lo posible por mitigar los ataques.</div><div class="gmail_default" style=""><div class="gmail_default" style=""><br></div><div class="gmail_default" style=""><span face="monospace, monospace" data-mce-style="font-family: monospace, monospace;" style="font-family: monospace, monospace;"><br></span></div><div class="gmail_default" style=""><span face="monospace, monospace" data-mce-style="font-family: monospace, monospace;" style="font-family: monospace, monospace;">El motivo de este e-mail es iniciar el thread. Adjunten sus comentarios en este correo.</span></div><div class="gmail_default" style=""><span face="monospace, monospace" data-mce-style="font-family: monospace, monospace;" style="font-family: monospace, monospace;"><br></span></div><div class="gmail_default" style=""><span face="monospace, monospace" data-mce-style="font-family: monospace, monospace;" style="font-family: monospace, monospace;">También debemos definir quién será el encargado del tema.</span></div><div class="gmail_default" style=""><span face="monospace, monospace" data-mce-style="font-family: monospace, monospace;" style="font-family: monospace, monospace;"><br></span></div><div class="gmail_default" style=""><span face="monospace, monospace" data-mce-style="font-family: monospace, monospace;" style="font-family: monospace, monospace;">Saludos!</span></div></div></div>
<br>_______________________________________________<br>BCOP mailing list<br>BCOP@lacnog.org<br>https://mail.lacnic.net/mailman/listinfo/bcop<br></div><div><br></div></div></body></html>