[lacnog] Ataque DoS

Tomas Lynch tomas.lynch en gmail.com
Mar Dic 11 16:27:30 BRST 2012 

Coincido con Omar excepto lo de "torificándose" que no sé que es :) Se ve
que antes era más fácil mitigar los ataques en un mundo donde nadie se
torificaba.

Lo que sí sé es que los ataques no son persistentes, cuando se dan cuenta
de que van a un blackhole dejan de atacar pero pueden volver en cualquier
momento. El script que habla Chris donde a través del netflow analizabamos
los flujos extraños y automáticamente poníamos la IP con comunidades de
blackhole no es dificil de realizar y usabamos netflow, perl y Zebra.
Espero encontrarlos y compartirlos aquí.

Tomás


2012/12/11 Omar Jose Alvarado <alvaradoo en daycohost.com>

> Buenos días,****
>
> ** **
>
> Ante todo saludos a todos, soy nuevo por esta lista y quisiera compartir
> un poco de mi experiencia; en nuestro país recibimos diariamente presuntos
> ataques DoS provenientes no solo desde Vietnam, sino de también desde
> China, Japón, Rusia y pare usted de contar. Antes de trabajar en Dayco viví
> un largo tiempo como Coordinador General del VenCERT (CSIRT Gubernamental
> de Venezuela) desde el momento de su creación hasta la operación estable y
> puedo decir con base que esta clase de ataques además de comunes en
> ambientes que poseen grandes segmentos de red (ISP, Hosting, etc) son
> también difíciles de mitigar en un 100%; seguro no diré nada que alguno de
> esta lista no sepa, pero no hay solución mágica o premisas que permitan
> hacer desaparecer o contener del todo esta clase de ataques; sin embargo
> desde mi punto de vista puedes:****
>
> ** **
>
> **1.       **Primero, entender que clase de ataque o tipo de
> vulnerabilidad está siendo aprovechada (volumen, vectores específicos, uso
> de toolkits, otra).****
>
> **2.       **Establecer los umbrales de notificación en tus elementos de
> monitoreo para prevenir la reacción cuando el ataque ya se encuentre en
> proceso o haya causado daño (netflow, umbrales en gráficas y/o herramientas
> de monitoreo, mensajes de notificación IDS/IPS/FW, entre otros).****
>
> **3.       **Establecer los elementos necesarios para almacenar los
> registros de presuntos ataques (syslog, sincronizar equipos,
> almacenamiento, otros).****
>
> **4.       **Utilizar blackhole es una opción para contener, siempre y
> cuando tengas la comunidad:tag establecida con tu peer BGP.****
>
> **5.       **Tener una capa de seguridad perimetral tan desagregada como
> los ataques que recibes.****
>
> **6.       **Evaluar soluciones para tener un “Canal Limpio” u opciones
> de “Mitigación como Servicio”, hay varios proveedores en el mercado (google
> it!).****
>
> **7.       **Todo esto puede llevar a una restructuración de tu
> arquitectura.****
>
> ** **
>
> Al mismo tiempo, aplicar medidas puntuales para cerrar brechas abiertas
> por vulnerabilidades conocidas: parches, hotfixes, otras.****
>
> ** **
>
> Apoyarte en el CSIRT de tu región que contacte al CSIRT de Vietnam
> (VNCERT), y a través de un procedimiento estándar para recopilar
> información proceda a reportar la dirección IP en cuestión:****
>
> VNCERT – Viet Nam CERT****
>
> http://www.vncert.gov.vn/****
>
> Contacto: http://www.vncert.gov.vn/lienhe.htm****
>
> ** **
>
> Liberar la dirección IP del blackhole, va a depender de que hayas podido
> identificar el vector de ataque asociado, contener el presunto ataque y
> mitigar el impacto o nivel de riesgo asociado a la vulnerabilidad
> aprovechada; sin embargo, eso no quiere decir que no pueda(n) utilizar
> otra(s) IP (por ejemplo torificándose) y explotar las debilidades que ya
> conoce…………. Cierto…!?!?****
>
> ** **
>
> Atte,****
>
> ** **
>
> *[image: Descripción: Logo_NI2]*
>
> * *
>
> *Omar Alvarado Pargas*****
>
> *CISO | Gerencia de Ingenieria*****
>
> Tlf: *+58 212 999.XXXX** |** ***
>
> * *
>
> Torre Dayco, Calle Londres, Urb. Las Mercedes,****
>
> Caracas, Venezuela. ZP 1060-A****
>
> Master *+58 212 999.XXXX*
>
> ** **
>
> *daycohost.com <http://www.daycohost.com/>*
>
> ** **
>
> *DERECHOS DE USO*
>
> La presente documentación de carácter privado y confidencial es propiedad
> de DAYCO Telecom, C.A., y esta dirigido exclusivamente a su(s)
> destinatario(s), no podrá ser objeto de reproducción total o parcial, ni
> transmisión de ninguna forma o por cualquier medio, ya sea electrónico,
> mecánico, digital, registro o cualquier otro; tampoco podrá ser distribuido
> bajo ningún concepto sin el permiso previo y escrito de DAYCO Telecom, C.A.
> Si usted ha recibido este mensaje por error, debe evitar realizar cualquier
> acción descrita anteriormente, asimismo le agradecemos comunicarlo al
> remitente y borrar el mensaje o cualquier documento adjunto. El
> incumplimiento de las limitaciones señaladas por cualquier persona que
> tenga acceso a la documentación será sancionada de conformidad al marco
> jurídico vigente.****
>
> ** **
>
> *De:* lacnog-bounces en lacnic.net [mailto:lacnog-bounces en lacnic.net] *En
> nombre de *Francisco Vargas Piedra
> *Enviado el:* martes, 11 de diciembre de 2012 10:46 a.m.
> *Para:* lacnog en lacnic.net
> *CC:* Ricardo Barquero Carranza
> *Asunto:* [lacnog] Ataque DoS****
>
> ** **
>
> Buenos días,****
>
> ** **
>
> Espero que todos se encuentren muy bien. Hemos estado recibiendo un ataque
> de DoS distribuido proveniente de Vietnam (básicamente de Viettel) y
> específicamente a una de nuestras direcciones IP ¿alguno ha tenido
> problemas similares? ¿cómo arrancar estos problemas de raíz? ¿cuál es la
> mejor solución (conozco soluciones como la de Arbor, pero buscamos un
> feedback de otras para mejorar nuestros sistemas) para combatir este tipo
> de ataques?****
>
> ** **
>
> Ojalá alguno me pueda dar retroalimentación. Me interesa saber si han
> tenido problemas similares provenientes de Vietnam.****
>
> ** **
>
> Ing. Francisco Vargas Piedra****
>
> [image: Descripción: Descripción: Descripción: Descripción:
> http://thinkbeforeprinting.org/struct/signature-1.gif]****
>
> ** **
>
> ** **
>
> ****
>
> *Francisco*
>
> *Vargas Piedra*
>
> *Ingeniero del Departamento de Datos  *
>
> *Teléfono directo: (506) 2520-7908*
>
> *Teléfono celular: (506) 8875-1554*
>
> [image: Descripción: Descripción: Descripción:
> http://thinkbeforeprinting.org/struct/signature-1.gif]****
>
> ** **
>
> ** **
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20121211/50eea0d6/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image005.png
Type: image/png
Size: 18218 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20121211/50eea0d6/attachment.png>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image004.gif
Type: image/gif
Size: 566 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20121211/50eea0d6/attachment.gif>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image003.gif
Type: image/gif
Size: 8301 bytes
Desc: no disponible
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20121211/50eea0d6/attachment-0001.gif>

Más información sobre la lista de distribución LACNOG