[lacnog] Ataque DoS

Santiago Aggio slaggio en criba.edu.ar
Mar Dic 11 17:46:33 BRST 2012 

Francisco,

Otra herramienta open source interesante para analizar tu trafico basado en netflow es Nfsen (http://nfsen.sourceforge.net) , que te permite crear vistas definiendo  perfiles y filtros basados en diferentes campos del paquete IP.

En el caso de un ataque podrías visualizar las direcciones IP origen y destino del ataque, para posteriormente analizar mediante un perfil, en forma gráfica o en modo texto, el consumo del mismo y los puertos involucrados, además de disparar alarmas cuando los mismos exceden un umbral en cuanto al
numero de flujos, paquetes o bytes, en valores absolutos o por segundo.

También te permite hacer una visualización dentro de una ventana de tiempo para análisis a posteriori del evento.
Trae plugins para vistas del uso de puertos como el Porttracker y otro que podes instalar que no viene con el paquete es Nfsight   http://sourceforge.net/p/nfsight/home/Nfsight/

Saludos, Santiago.

On 12/11/2012 02:45 PM, Francisco Vargas Piedra wrote:
> Gracias Christian,
>
> Sí, de hecho tenemos nuestra implementación de netflow utilizando algunas herramientas libres como ntop. Si alguien puede compartir sus scripts de control para el análisis de estos flujos sería muy amable, o al menos alguna pesquiza para manejar este tipo de casos (enlaces con tutoriales, etc.).
>
> Pensamos que el ataque iba a durar menos de un día, pero cuando bajamos la defensa en el black hole el problema simplemente persistió. De ahí mi consulta de si alguien más ha sufrido este ataque proveniente de Vietnam.
>
> Saludos,
> Francisco
>
> -----Mensaje original-----
> De: lacnog-bounces en lacnic.net [mailto:lacnog-bounces en lacnic.net] En nombre de Christian O'Flaherty
> Enviado el: martes, 11 de diciembre de 2012 11:39 a.m.
> Para: Latin America and Caribbean Region Network Operators Group
> CC: Ricardo Barquero Carranza
> Asunto: Re: [lacnog] Ataque DoS
>
> No se como detectar cuando terminó... No creo que dure mas de un día.
>
> Para automatizarlo, puedes usar scripts que analicen la información del neflow. Eso funcionaba muy bien hace muchos años. Mirando la fecha del flowscan (que he usado para eso) veo que tuvo su última actualización en el 2001!... Seguramente ahora habrá cosas mas eficientes. Tal vez alguno en la lista puede compartir sus scripts.
>
> Christian
>
> 2012/12/11 Francisco Vargas Piedra <f.vargas en cabletica.com>:
>> Exacto, esa es la medida aplicada al momento. Sin embargo, en tu 
>> experiencia ¿cómo saber cuando liberar esa dirección del black-hole? 
>> ¿cuáles son las mejores soluciones para automatizar este 
>> procedimiento? Espero que mis preguntas no sean muy ambiguas.
>>
>>
>>
>> Saludos,
>>
>> Ing. Francisco Vargas Piedra
>>
>>
>>
>> De: lacnog-bounces en lacnic.net [mailto:lacnog-bounces en lacnic.net] En 
>> nombre de Christian O'Flaherty Enviado el: martes, 11 de diciembre de 
>> 2012 11:26 a.m.
>>
>>
>> Para: Latin America and Caribbean Region Network Operators Group
>> CC: Ricardo Barquero Carranza
>>
>> Asunto: Re: [lacnog] Ataque DoS
>>
>>
>>
>>
>>
>> Has logrado reducir el tráfico? Lo primero que puedes hacer, es crear 
>> un anuncio marcado con la comunidad que tu proveedor utilice como 
>> black-hole (o ruteo a null) para la dirección IP atacada. En ese caso, 
>> el IP afectado quedará sin servicio pero el BW entrante volverá a la normalidad.
>>
>>
>>
>> Christian
>>
>>
>>
>> 2012/12/11 Francisco Vargas Piedra <f.vargas en cabletica.com>
>>
>> La envié a la primera dirección de contacto, sin embargo no he 
>> recibido respuesta. Voy a enviar el mismo correo a todos esos 
>> contactos que me envías adjuntos. Sabes de un ataque similar proveniente de Vietnam?
>>
>> Saludos,
>>
>> Francisco
>>
>> Vargas Piedra
>>
>> Ingeniero del Departamento de Datos
>>
>> Teléfono directo: (506) 2520-7908
>>
>> Teléfono celular: (506) 8875-1554
>>
>>
>>
>> -----Mensaje original-----
>> De: Carlos Vicente [mailto:cvicente en uoregon.edu] Enviado el: martes, 
>> 11 de diciembre de 2012 09:32 a.m.
>> Para: Latin America and Caribbean Region Network Operators Group
>> CC: Francisco Vargas Piedra; Ricardo Barquero Carranza
>> Asunto: Re: [lacnog] Ataque DoS
>>
>>
>> Ya te pusiste en contacto con Vietel?
>>
>> route:          125.234.0.0/15
>> descr:          Vietel Corporation
>> descr:          Internet service/exchange provider
>> descr:          VIETEL-AS-AP
>> country:        VN
>> origin:         AS7552
>> member-of:      rs-vietel
>> remarks:        mailto: noc en viettel.com.vn
>> notify:         hm-changed en vnnic.net.vn
>> mnt-by:         MAINT-VN-VIETEL
>> changed:        hm-changed en vnnic.net.vn 20060118
>> source:         APNIC
>>
>> person:         Nguyen Hoang Chuong
>> nic-hdl:        NH186-AP
>> e-mail:         abuse en vietel.com.vn
>> address:        47 Huynh Thuc Khang str, Dong Da, Ha Noi
>> phone:          +84-426-60078
>> fax-no:         +84-426-60096
>> country:        vn
>> changed:        hm-changed en vnnic.net.vn 20060403
>> mnt-by:         MAINT-VN-VIETEL
>> source:         APNIC
>>
>> person:         Mai Gia Ha
>> nic-hdl:        MGH3-AP
>> e-mail:         noc en vietel.com.vn
>> address:        01 Giang Van Minh, Ba Dinh, Ha Noi
>> phone:          +84-98-3000955
>> fax-no:         +84-426-60446
>> country:        vn
>> changed:        hm-changed en vnnic.net.vn 20121211
>> mnt-by:         MAINT-VN-VIETEL
>> source:         APNIC
>>
>>
>> cv
>>
>> On 12/11/12 10:16 AM, Francisco Vargas Piedra wrote:
>>> Buenos días,
>>>
>>>
>>>
>>> Espero que todos se encuentren muy bien. Hemos estado recibiendo un 
>>> ataque de DoS distribuido proveniente de Vietnam (básicamente de
>>> Viettel) y específicamente a una de nuestras direcciones IP ¿alguno 
>>> ha tenido problemas similares? ¿cómo arrancar estos problemas de raíz?
>>> ¿cuál es la mejor solución (conozco soluciones como la de Arbor, pero 
>>> buscamos un feedback de otras para mejorar nuestros sistemas) para 
>>> combatir este tipo de ataques?
>>>
>>>
>>>
>>> Ojalá alguno me pueda dar retroalimentación. Me interesa saber si han 
>>> tenido problemas similares provenientes de Vietnam.
>>>
>>>
>>>
>>> Ing. Francisco Vargas Piedra
>>>
>>> Descripción: Descripción: Descripción: Descripción:
>>> http://thinkbeforeprinting.org/struct/signature-1.gif
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>> *Francisco*
>>>
>>> *Vargas Piedra*
>>>
>>> *Ingeniero del Departamento de Datos  *
>>>
>>> *Teléfono directo: (506) 2520-7908*
>>>
>>> *Teléfono celular: (506) 8875-1554*
>>>
>>> Descripción: Descripción: Descripción:
>>> http://thinkbeforeprinting.org/struct/signature-1.gif
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>>
>>
>> --
>> cv
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>
>>
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>

Más información sobre la lista de distribución LACNOG