[lacnog] DDoS, ataques de amplificacion y BCP38
Drew Weaver
drew.weaver en thenap.com
Mie Mar 27 19:12:26 BRT 2013
36 bytes becoming 3000 bytes is a great dividend :)
Roque Gagliano <rgaglian en gmail.com> wrote:
Carlos,
On Wed, Mar 27, 2013 at 9:27 PM, Carlos M. Martinez
<carlosmarcelomartinez en gmail.com> wrote:
> El tema de los open resolvers es increible... como algo tan facil de
> corregir es completamente ignorado por la gente.
>
> ¿Que nos pasa?
Es una paradoja pues tu mismo en esta misma lista unos días atrás le
hacías publicidad a los open resolvers de Google .... que encima ahora
hacen DNSSEC por lo que la amplificación es aún major :-)
Hablando más en serio, el problema no se limita a los "open resolvers"
cualquier servidor autoritativo también puede ser usado para ataques
de amplificación. El hecho de que hayan elegido la zona ripe.net habla
de que escogieron una plataforma autoritativa que no se "funda"
durante el ataque. Es algo en el diseño del protocolo (respuestas
mayores que consultas) y que DNSSEC incrementa "dramáticamente".
Lo otro interesante es que si bien el ataque (según Cloudfare y no sé
si alguien más lo verificó) fue grande, es básicamente trivial de
limpiar (lo que se llama scrubbing) pues los servidores atacados no
eran servidores DNS. Así bastaba con filtrar el puerto 53....para los
300Gbps....
Roque
> s2
>
> ~C.
>
> On 3/27/13 5:23 PM, Hugo Salgado wrote:
>> Además, cerrar los DNS recursivos solo a los clientes; y aplicar
>> RRL a los autoritativos.
>>
>> Saludos,
>>
>> Hugo
>>
>> On 03/27/2013 05:16 PM, Arturo Servin wrote:
>>> Hay una discusion interesante sobre DDoS, ataques de amplificacion y
>>> BCP38 en la lista de nanog.
>>>
>>> De ahi este par de articulos (sobre DDoS de mas de 100 Gbps) que nos
>>> dice lo importante de aplicar el BCP38 a nuestras redes:
>>>
>>> New York Times
>>> http://www.nytimes.com/2013/03/27/technology/internet/online-dispute-becomes-internet-snarling-attack.html
>>>
>>> http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet
>>>
>>>
>>> Espero que en estas listas la mayoria se asegure que el trafico que
>>> sale de sus redes y de sus clientes no sea de direcciones de IP "spoofeadas"
>>>
>>> Extracto del articulo del NY Times:
>>>
>>> "The heart of the problem, according to several Internet engineers, is
>>> that many large Internet service providers have not set up their
>>> networks to make sure that traffic leaving their networks is actually
>>> coming from their own users. The potential security flaw has long been
>>> known by Internet security specialists, but it has only recently been
>>> exploited in a way that threatens the Internet infrastructure."
>>>
>>> Slds
>>> as
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
--
At least I did something
Don Draper - Mad Men
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
Más información sobre la lista de distribución LACNOG