[lacnog] Retroceder: Re: Ataque DoS

Arturo Servin arturo.servin en gmail.com
Mar Dic 11 21:56:27 BRST 2012


    UDP, puerto 53?

    Puede ser un ataque de reflexion (es de noche, tengo sueño y no
estoy seguro si así se llama). Básicamente el atacante envia request de
DNS a muchos servidores usando tu IP como destino (generalmente el
request es pequeño pero la respuesta es grande, por ejemplo DNSSEC).
Estos contestan a tu IP y te hacen un DoS. Aqui lo complicado es que el
atacante se enmascara usando los DNSs para el ataque.

    0day
http://en.wikipedia.org/wiki/Zero-day_attack

Slds
as

On 11/12/2012 19:57, Francisco Vargas Piedra wrote:
> Son varias IPs (alrededor de 620 pude contabilizar) intentando enviar pequeños paquetes UDP pero en ráfagas inmanejables. Se trata entonces de un ataque distribuido dirigido directamente a una dirección IP que nos pertenece, el resultado es uno de nuestros enlaces internacionales saturados. En estos momentos no se presenta el ataque porque ya agregamos esta IP nuestra al hoyo negro (para hablar en español :) ).
>
> Perdona mi ignorancia pero desconozco qué es un 0day. Tal vez me puedas ampliar.
>
> Muchas gracias, 
>
> Francisco
>
> -----Mensaje original-----
> De: lacnog-bounces en lacnic.net [mailto:lacnog-bounces en lacnic.net] En nombre de Emmanuel Schonberger
> Enviado el: martes, 11 de diciembre de 2012 12:35 p.m.
> Para: Latin America and Caribbean Region Network Operators Group
> CC: Ricardo Barquero Carranza
> Asunto: [lacnog] Retroceder: Re: Ataque DoS
>
> Hola que tal...
>
> Consulta si estas usando ntop es realmente un dos o un ddos que busca consumir ancho de banda o el.destino de las conexiones es un puerto especifico....quizas esten intentado entrar con un 0day ;-)
>
> Francisco Vargas Piedra <f.vargas en cabletica.com> wrote:
>
> Gracias Christian,
>
> Sí, de hecho tenemos nuestra implementación de netflow utilizando algunas herramientas libres como ntop. Si alguien puede compartir sus scripts de control para el análisis de estos flujos sería muy amable, o al menos alguna pesquiza para manejar este tipo de casos (enlaces con tutoriales, etc.).
>
> Pensamos que el ataque iba a durar menos de un día, pero cuando bajamos la defensa en el black hole el problema simplemente persistió. De ahí mi consulta de si alguien más ha sufrido este ataque proveniente de Vietnam.
>
> Saludos,
> Francisco
>
> -----Mensaje original-----
> De: lacnog-bounces en lacnic.net [mailto:lacnog-bounces en lacnic.net] En nombre de Christian O'Flaherty Enviado el: martes, 11 de diciembre de 2012 11:39 a.m.
> Para: Latin America and Caribbean Region Network Operators Group
> CC: Ricardo Barquero Carranza
> Asunto: Re: [lacnog] Ataque DoS
>
> No se como detectar cuando terminó... No creo que dure mas de un día.
>
> Para automatizarlo, puedes usar scripts que analicen la información del neflow. Eso funcionaba muy bien hace muchos años. Mirando la fecha del flowscan (que he usado para eso) veo que tuvo su última actualización en el 2001!... Seguramente ahora habrá cosas mas eficientes. Tal vez alguno en la lista puede compartir sus scripts.
>
> Christian
>
> 2012/12/11 Francisco Vargas Piedra <f.vargas en cabletica.com>:
>> Exacto, esa es la medida aplicada al momento. Sin embargo, en tu 
>> experiencia ¿cómo saber cuando liberar esa dirección del black-hole?
>> ¿cuáles son las mejores soluciones para automatizar este 
>> procedimiento? Espero que mis preguntas no sean muy ambiguas.
>>
>>
>>
>> Saludos,
>>
>> Ing. Francisco Vargas Piedra
>>
>>
>>
>> De: lacnog-bounces en lacnic.net [mailto:lacnog-bounces en lacnic.net] En 
>> nombre de Christian O'Flaherty Enviado el: martes, 11 de diciembre de
>> 2012 11:26 a.m.
>>
>>
>> Para: Latin America and Caribbean Region Network Operators Group
>> CC: Ricardo Barquero Carranza
>>
>> Asunto: Re: [lacnog] Ataque DoS
>>
>>
>>
>>
>>
>> Has logrado reducir el tráfico? Lo primero que puedes hacer, es crear 
>> un anuncio marcado con la comunidad que tu proveedor utilice como 
>> black-hole (o ruteo a null) para la dirección IP atacada. En ese caso, 
>> el IP afectado quedará sin servicio pero el BW entrante volverá a la normalidad.
>>
>>
>>
>> Christian
>>
>>
>>
>> 2012/12/11 Francisco Vargas Piedra <f.vargas en cabletica.com>
>>
>> La envié a la primera dirección de contacto, sin embargo no he 
>> recibido respuesta. Voy a enviar el mismo correo a todos esos 
>> contactos que me envías adjuntos. Sabes de un ataque similar proveniente de Vietnam?
>>
>> Saludos,
>>
>> Francisco
>>
>> Vargas Piedra
>>
>> Ingeniero del Departamento de Datos
>>
>> Teléfono directo: (506) 2520-7908
>>
>> Teléfono celular: (506) 8875-1554
>>
>>
>>
>> -----Mensaje original-----
>> De: Carlos Vicente [mailto:cvicente en uoregon.edu] Enviado el: martes,
>> 11 de diciembre de 2012 09:32 a.m.
>> Para: Latin America and Caribbean Region Network Operators Group
>> CC: Francisco Vargas Piedra; Ricardo Barquero Carranza
>> Asunto: Re: [lacnog] Ataque DoS
>>
>>
>> Ya te pusiste en contacto con Vietel?
>>
>> route:          125.234.0.0/15
>> descr:          Vietel Corporation
>> descr:          Internet service/exchange provider
>> descr:          VIETEL-AS-AP
>> country:        VN
>> origin:         AS7552
>> member-of:      rs-vietel
>> remarks:        mailto: noc en viettel.com.vn
>> notify:         hm-changed en vnnic.net.vn
>> mnt-by:         MAINT-VN-VIETEL
>> changed:        hm-changed en vnnic.net.vn 20060118
>> source:         APNIC
>>
>> person:         Nguyen Hoang Chuong
>> nic-hdl:        NH186-AP
>> e-mail:         abuse en vietel.com.vn
>> address:        47 Huynh Thuc Khang str, Dong Da, Ha Noi
>> phone:          +84-426-60078
>> fax-no:         +84-426-60096
>> country:        vn
>> changed:        hm-changed en vnnic.net.vn 20060403
>> mnt-by:         MAINT-VN-VIETEL
>> source:         APNIC
>>
>> person:         Mai Gia Ha
>> nic-hdl:        MGH3-AP
>> e-mail:         noc en vietel.com.vn
>> address:        01 Giang Van Minh, Ba Dinh, Ha Noi
>> phone:          +84-98-3000955
>> fax-no:         +84-426-60446
>> country:        vn
>> changed:        hm-changed en vnnic.net.vn 20121211
>> mnt-by:         MAINT-VN-VIETEL
>> source:         APNIC
>>
>>
>> cv
>>
>> On 12/11/12 10:16 AM, Francisco Vargas Piedra wrote:
>>> Buenos días,
>>>
>>>
>>>
>>> Espero que todos se encuentren muy bien. Hemos estado recibiendo un 
>>> ataque de DoS distribuido proveniente de Vietnam (básicamente de
>>> Viettel) y específicamente a una de nuestras direcciones IP ¿alguno 
>>> ha tenido problemas similares? ¿cómo arrancar estos problemas de raíz?
>>> ¿cuál es la mejor solución (conozco soluciones como la de Arbor, pero 
>>> buscamos un feedback de otras para mejorar nuestros sistemas) para 
>>> combatir este tipo de ataques?
>>>
>>>
>>>
>>> Ojalá alguno me pueda dar retroalimentación. Me interesa saber si han 
>>> tenido problemas similares provenientes de Vietnam.
>>>
>>>
>>>
>>> Ing. Francisco Vargas Piedra
>>>
>>> Descripción: Descripción: Descripción: Descripción:
>>> http://thinkbeforeprinting.org/struct/signature-1.gif
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>> *Francisco*
>>>
>>> *Vargas Piedra*
>>>
>>> *Ingeniero del Departamento de Datos  *
>>>
>>> *Teléfono directo: (506) 2520-7908*
>>>
>>> *Teléfono celular: (506) 8875-1554*
>>>
>>> Descripción: Descripción: Descripción:
>>> http://thinkbeforeprinting.org/struct/signature-1.gif
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>>
>>
>> --
>> cv
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>
>>
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net




Más información sobre la lista de distribución LACNOG