[lacnog] DDoS, ataques de amplificacion y BCP38
Carlos A. Afonso
ca en cafonso.ca
Lun Abr 1 13:17:50 BRT 2013
Creo que una acción coordinada de NRO/RIRs para administración de
servidoras DNS con el objetivo de insistir en detalle en "best
practices" es tan importante cuanto la iniciativa de CGI.br de proponer
a las operadoras/proveedores de banda ancha el manejo de la puerta 25
(que en Brasil ha tenido un éxito muy relevante).
[]s fraternos
--c.a.
On 03/31/2013 04:08 PM, Carlos M. Martinez wrote:
> El punto son los open resolvers sin control. Si uno quiere tener un open
> resolver para darle servicio al mundo entero, bien, pero tiene que
> hacerse responsable del hecho.
>
> Los open resolvers que son problematicos, en su gran mayoria, estan ahi
> simplemente por desidia / negligencia.
>
> s2
>
> ~C.
>
> On 3/27/13 7:00 PM, Roque Gagliano wrote:
>> Carlos,
>>
>> On Wed, Mar 27, 2013 at 9:27 PM, Carlos M. Martinez
>> <carlosmarcelomartinez en gmail.com> wrote:
>>> El tema de los open resolvers es increible... como algo tan facil de
>>> corregir es completamente ignorado por la gente.
>>>
>>> ¿Que nos pasa?
>>
>>
>> Es una paradoja pues tu mismo en esta misma lista unos días atrás le
>> hacías publicidad a los open resolvers de Google .... que encima ahora
>> hacen DNSSEC por lo que la amplificación es aún major :-)
>>
>> Hablando más en serio, el problema no se limita a los "open resolvers"
>> cualquier servidor autoritativo también puede ser usado para ataques
>> de amplificación. El hecho de que hayan elegido la zona ripe.net habla
>> de que escogieron una plataforma autoritativa que no se "funda"
>> durante el ataque. Es algo en el diseño del protocolo (respuestas
>> mayores que consultas) y que DNSSEC incrementa "dramáticamente".
>>
>> Lo otro interesante es que si bien el ataque (según Cloudfare y no sé
>> si alguien más lo verificó) fue grande, es básicamente trivial de
>> limpiar (lo que se llama scrubbing) pues los servidores atacados no
>> eran servidores DNS. Así bastaba con filtrar el puerto 53....para los
>> 300Gbps....
>>
>> Roque
>>
>>> s2
>>>
>>> ~C.
>>>
>>> On 3/27/13 5:23 PM, Hugo Salgado wrote:
>>>> Además, cerrar los DNS recursivos solo a los clientes; y aplicar
>>>> RRL a los autoritativos.
>>>>
>>>> Saludos,
>>>>
>>>> Hugo
>>>>
>>>> On 03/27/2013 05:16 PM, Arturo Servin wrote:
>>>>> Hay una discusion interesante sobre DDoS, ataques de amplificacion y
>>>>> BCP38 en la lista de nanog.
>>>>>
>>>>> De ahi este par de articulos (sobre DDoS de mas de 100 Gbps) que nos
>>>>> dice lo importante de aplicar el BCP38 a nuestras redes:
>>>>>
>>>>> New York Times
>>>>> http://www.nytimes.com/2013/03/27/technology/internet/online-dispute-becomes-internet-snarling-attack.html
>>>>>
>>>>> http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet
>>>>>
>>>>>
>>>>> Espero que en estas listas la mayoria se asegure que el trafico que
>>>>> sale de sus redes y de sus clientes no sea de direcciones de IP "spoofeadas"
>>>>>
>>>>> Extracto del articulo del NY Times:
>>>>>
>>>>> "The heart of the problem, according to several Internet engineers, is
>>>>> that many large Internet service providers have not set up their
>>>>> networks to make sure that traffic leaving their networks is actually
>>>>> coming from their own users. The potential security flaw has long been
>>>>> known by Internet security specialists, but it has only recently been
>>>>> exploited in a way that threatens the Internet infrastructure."
>>>>>
>>>>> Slds
>>>>> as
>>>>> _______________________________________________
>>>>> LACNOG mailing list
>>>>> LACNOG en lacnic.net
>>>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>>>>
>>>> _______________________________________________
>>>> LACNOG mailing list
>>>> LACNOG en lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>
>>
>>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>
Más información sobre la lista de distribución LACNOG