[lacnog] Ataque DoS
Francisco Vargas Piedra
f.vargas en cabletica.com
Mar Dic 11 15:45:57 BRST 2012
Gracias Christian,
Sí, de hecho tenemos nuestra implementación de netflow utilizando algunas herramientas libres como ntop. Si alguien puede compartir sus scripts de control para el análisis de estos flujos sería muy amable, o al menos alguna pesquiza para manejar este tipo de casos (enlaces con tutoriales, etc.).
Pensamos que el ataque iba a durar menos de un día, pero cuando bajamos la defensa en el black hole el problema simplemente persistió. De ahí mi consulta de si alguien más ha sufrido este ataque proveniente de Vietnam.
Saludos,
Francisco
-----Mensaje original-----
De: lacnog-bounces en lacnic.net [mailto:lacnog-bounces en lacnic.net] En nombre de Christian O'Flaherty
Enviado el: martes, 11 de diciembre de 2012 11:39 a.m.
Para: Latin America and Caribbean Region Network Operators Group
CC: Ricardo Barquero Carranza
Asunto: Re: [lacnog] Ataque DoS
No se como detectar cuando terminó... No creo que dure mas de un día.
Para automatizarlo, puedes usar scripts que analicen la información del neflow. Eso funcionaba muy bien hace muchos años. Mirando la fecha del flowscan (que he usado para eso) veo que tuvo su última actualización en el 2001!... Seguramente ahora habrá cosas mas eficientes. Tal vez alguno en la lista puede compartir sus scripts.
Christian
2012/12/11 Francisco Vargas Piedra <f.vargas en cabletica.com>:
> Exacto, esa es la medida aplicada al momento. Sin embargo, en tu
> experiencia ¿cómo saber cuando liberar esa dirección del black-hole?
> ¿cuáles son las mejores soluciones para automatizar este
> procedimiento? Espero que mis preguntas no sean muy ambiguas.
>
>
>
> Saludos,
>
> Ing. Francisco Vargas Piedra
>
>
>
> De: lacnog-bounces en lacnic.net [mailto:lacnog-bounces en lacnic.net] En
> nombre de Christian O'Flaherty Enviado el: martes, 11 de diciembre de
> 2012 11:26 a.m.
>
>
> Para: Latin America and Caribbean Region Network Operators Group
> CC: Ricardo Barquero Carranza
>
> Asunto: Re: [lacnog] Ataque DoS
>
>
>
>
>
> Has logrado reducir el tráfico? Lo primero que puedes hacer, es crear
> un anuncio marcado con la comunidad que tu proveedor utilice como
> black-hole (o ruteo a null) para la dirección IP atacada. En ese caso,
> el IP afectado quedará sin servicio pero el BW entrante volverá a la normalidad.
>
>
>
> Christian
>
>
>
> 2012/12/11 Francisco Vargas Piedra <f.vargas en cabletica.com>
>
> La envié a la primera dirección de contacto, sin embargo no he
> recibido respuesta. Voy a enviar el mismo correo a todos esos
> contactos que me envías adjuntos. Sabes de un ataque similar proveniente de Vietnam?
>
> Saludos,
>
> Francisco
>
> Vargas Piedra
>
> Ingeniero del Departamento de Datos
>
> Teléfono directo: (506) 2520-7908
>
> Teléfono celular: (506) 8875-1554
>
>
>
> -----Mensaje original-----
> De: Carlos Vicente [mailto:cvicente en uoregon.edu] Enviado el: martes,
> 11 de diciembre de 2012 09:32 a.m.
> Para: Latin America and Caribbean Region Network Operators Group
> CC: Francisco Vargas Piedra; Ricardo Barquero Carranza
> Asunto: Re: [lacnog] Ataque DoS
>
>
> Ya te pusiste en contacto con Vietel?
>
> route: 125.234.0.0/15
> descr: Vietel Corporation
> descr: Internet service/exchange provider
> descr: VIETEL-AS-AP
> country: VN
> origin: AS7552
> member-of: rs-vietel
> remarks: mailto: noc en viettel.com.vn
> notify: hm-changed en vnnic.net.vn
> mnt-by: MAINT-VN-VIETEL
> changed: hm-changed en vnnic.net.vn 20060118
> source: APNIC
>
> person: Nguyen Hoang Chuong
> nic-hdl: NH186-AP
> e-mail: abuse en vietel.com.vn
> address: 47 Huynh Thuc Khang str, Dong Da, Ha Noi
> phone: +84-426-60078
> fax-no: +84-426-60096
> country: vn
> changed: hm-changed en vnnic.net.vn 20060403
> mnt-by: MAINT-VN-VIETEL
> source: APNIC
>
> person: Mai Gia Ha
> nic-hdl: MGH3-AP
> e-mail: noc en vietel.com.vn
> address: 01 Giang Van Minh, Ba Dinh, Ha Noi
> phone: +84-98-3000955
> fax-no: +84-426-60446
> country: vn
> changed: hm-changed en vnnic.net.vn 20121211
> mnt-by: MAINT-VN-VIETEL
> source: APNIC
>
>
> cv
>
> On 12/11/12 10:16 AM, Francisco Vargas Piedra wrote:
>> Buenos días,
>>
>>
>>
>> Espero que todos se encuentren muy bien. Hemos estado recibiendo un
>> ataque de DoS distribuido proveniente de Vietnam (básicamente de
>> Viettel) y específicamente a una de nuestras direcciones IP ¿alguno
>> ha tenido problemas similares? ¿cómo arrancar estos problemas de raíz?
>> ¿cuál es la mejor solución (conozco soluciones como la de Arbor, pero
>> buscamos un feedback de otras para mejorar nuestros sistemas) para
>> combatir este tipo de ataques?
>>
>>
>>
>> Ojalá alguno me pueda dar retroalimentación. Me interesa saber si han
>> tenido problemas similares provenientes de Vietnam.
>>
>>
>>
>> Ing. Francisco Vargas Piedra
>>
>> Descripción: Descripción: Descripción: Descripción:
>> http://thinkbeforeprinting.org/struct/signature-1.gif
>>
>>
>>
>>
>>
>>
>>
>> *Francisco*
>>
>> *Vargas Piedra*
>>
>> *Ingeniero del Departamento de Datos *
>>
>> *Teléfono directo: (506) 2520-7908*
>>
>> *Teléfono celular: (506) 8875-1554*
>>
>> Descripción: Descripción: Descripción:
>> http://thinkbeforeprinting.org/struct/signature-1.gif
>>
>>
>>
>>
>>
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>
>
>
> --
> cv
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
Más información sobre la lista de distribución LACNOG