[lacnog] Ataque DoS

Omar Jose Alvarado alvaradoo en daycohost.com
Mar Dic 11 15:55:44 BRST 2012 

Buenos días,

 

Ante todo saludos a todos, soy nuevo por esta lista y quisiera compartir un poco de mi experiencia; en nuestro país recibimos diariamente presuntos ataques DoS provenientes no solo desde Vietnam, sino de también desde China, Japón, Rusia y pare usted de contar. Antes de trabajar en Dayco viví un largo tiempo como Coordinador General del VenCERT (CSIRT Gubernamental de Venezuela) desde el momento de su creación hasta la operación estable y puedo decir con base que esta clase de ataques además de comunes en ambientes que poseen grandes segmentos de red (ISP, Hosting, etc) son también difíciles de mitigar en un 100%; seguro no diré nada que alguno de esta lista no sepa, pero no hay solución mágica o premisas que permitan hacer desaparecer o contener del todo esta clase de ataques; sin embargo desde mi punto de vista puedes:

 

1.       Primero, entender que clase de ataque o tipo de vulnerabilidad está siendo aprovechada (volumen, vectores específicos, uso de toolkits, otra).

2.       Establecer los umbrales de notificación en tus elementos de monitoreo para prevenir la reacción cuando el ataque ya se encuentre en proceso o haya causado daño (netflow, umbrales en gráficas y/o herramientas de monitoreo, mensajes de notificación IDS/IPS/FW, entre otros).

3.       Establecer los elementos necesarios para almacenar los registros de presuntos ataques (syslog, sincronizar equipos, almacenamiento, otros).

4.       Utilizar blackhole es una opción para contener, siempre y cuando tengas la comunidad:tag establecida con tu peer BGP.

5.       Tener una capa de seguridad perimetral tan desagregada como los ataques que recibes.

6.       Evaluar soluciones para tener un "Canal Limpio" u opciones de "Mitigación como Servicio", hay varios proveedores en el mercado (google it!).

7.       Todo esto puede llevar a una restructuración de tu arquitectura.

 

Al mismo tiempo, aplicar medidas puntuales para cerrar brechas abiertas por vulnerabilidades conocidas: parches, hotfixes, otras.

 

Apoyarte en el CSIRT de tu región que contacte al CSIRT de Vietnam (VNCERT), y a través de un procedimiento estándar para recopilar información proceda a reportar la dirección IP en cuestión:

VNCERT - Viet Nam CERT

http://www.vncert.gov.vn/

Contacto: http://www.vncert.gov.vn/lienhe.htm

 

Liberar la dirección IP del blackhole, va a depender de que hayas podido identificar el vector de ataque asociado, contener el presunto ataque y mitigar el impacto o nivel de riesgo asociado a la vulnerabilidad aprovechada; sin embargo, eso no quiere decir que no pueda(n) utilizar otra(s) IP (por ejemplo torificándose) y explotar las debilidades que ya conoce............. Cierto...!?!?

 

Atte,

 

 

 

Omar Alvarado Pargas

CISO | Gerencia de Ingenieria

Tlf: +58 212 999.XXXX | 

 

Torre Dayco, Calle Londres, Urb. Las Mercedes,

Caracas, Venezuela. ZP 1060-A

Master +58 212 999.XXXX

 

daycohost.com <http://www.daycohost.com/> 

 

DERECHOS DE USO

La presente documentación de carácter privado y confidencial es propiedad de DAYCO Telecom, C.A., y esta dirigido exclusivamente a su(s) destinatario(s), no podrá ser objeto de reproducción total o parcial, ni transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, digital, registro o cualquier otro; tampoco podrá ser distribuido bajo ningún concepto sin el permiso previo y escrito de DAYCO Telecom, C.A. Si usted ha recibido este mensaje por error, debe evitar realizar cualquier acción descrita anteriormente, asimismo le agradecemos comunicarlo al remitente y borrar el mensaje o cualquier documento adjunto. El incumplimiento de las limitaciones señaladas por cualquier persona que tenga acceso a la documentación será sancionada de conformidad al marco jurídico vigente.

 

De: lacnog-bounces en lacnic.net [mailto:lacnog-bounces en lacnic.net] En nombre de Francisco Vargas Piedra
Enviado el: martes, 11 de diciembre de 2012 10:46 a.m.
Para: lacnog en lacnic.net
CC: Ricardo Barquero Carranza
Asunto: [lacnog] Ataque DoS

 

Buenos días,

 

Espero que todos se encuentren muy bien. Hemos estado recibiendo un ataque de DoS distribuido proveniente de Vietnam (básicamente de Viettel) y específicamente a una de nuestras direcciones IP ¿alguno ha tenido problemas similares? ¿cómo arrancar estos problemas de raíz? ¿cuál es la mejor solución (conozco soluciones como la de Arbor, pero buscamos un feedback de otras para mejorar nuestros sistemas) para combatir este tipo de ataques?

 

Ojalá alguno me pueda dar retroalimentación. Me interesa saber si han tenido problemas similares provenientes de Vietnam.

 

Ing. Francisco Vargas Piedra

 

 

 

 

Francisco

Vargas Piedra

Ingeniero del Departamento de Datos  

Teléfono directo: (506) 2520-7908

Teléfono celular: (506) 8875-1554



 

 

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20121211/0b949a22/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image003.gif
Type: image/gif
Size: 8301 bytes
Desc: image003.gif
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20121211/0b949a22/attachment.gif>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image004.gif
Type: image/gif
Size: 566 bytes
Desc: image004.gif
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20121211/0b949a22/attachment-0001.gif>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image005.png
Type: image/png
Size: 18218 bytes
Desc: image005.png
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20121211/0b949a22/attachment.png>

Más información sobre la lista de distribución LACNOG