[lacnog] DDoS, ataques de amplificacion y BCP38
Carlos M. Martinez
carlosm3011 en gmail.com
Dom Mar 31 16:08:24 BRT 2013
El punto son los open resolvers sin control. Si uno quiere tener un open
resolver para darle servicio al mundo entero, bien, pero tiene que
hacerse responsable del hecho.
Los open resolvers que son problematicos, en su gran mayoria, estan ahi
simplemente por desidia / negligencia.
s2
~C.
On 3/27/13 7:00 PM, Roque Gagliano wrote:
> Carlos,
>
> On Wed, Mar 27, 2013 at 9:27 PM, Carlos M. Martinez
> <carlosmarcelomartinez en gmail.com> wrote:
>> El tema de los open resolvers es increible... como algo tan facil de
>> corregir es completamente ignorado por la gente.
>>
>> ¿Que nos pasa?
>
>
> Es una paradoja pues tu mismo en esta misma lista unos días atrás le
> hacías publicidad a los open resolvers de Google .... que encima ahora
> hacen DNSSEC por lo que la amplificación es aún major :-)
>
> Hablando más en serio, el problema no se limita a los "open resolvers"
> cualquier servidor autoritativo también puede ser usado para ataques
> de amplificación. El hecho de que hayan elegido la zona ripe.net habla
> de que escogieron una plataforma autoritativa que no se "funda"
> durante el ataque. Es algo en el diseño del protocolo (respuestas
> mayores que consultas) y que DNSSEC incrementa "dramáticamente".
>
> Lo otro interesante es que si bien el ataque (según Cloudfare y no sé
> si alguien más lo verificó) fue grande, es básicamente trivial de
> limpiar (lo que se llama scrubbing) pues los servidores atacados no
> eran servidores DNS. Así bastaba con filtrar el puerto 53....para los
> 300Gbps....
>
> Roque
>
>> s2
>>
>> ~C.
>>
>> On 3/27/13 5:23 PM, Hugo Salgado wrote:
>>> Además, cerrar los DNS recursivos solo a los clientes; y aplicar
>>> RRL a los autoritativos.
>>>
>>> Saludos,
>>>
>>> Hugo
>>>
>>> On 03/27/2013 05:16 PM, Arturo Servin wrote:
>>>> Hay una discusion interesante sobre DDoS, ataques de amplificacion y
>>>> BCP38 en la lista de nanog.
>>>>
>>>> De ahi este par de articulos (sobre DDoS de mas de 100 Gbps) que nos
>>>> dice lo importante de aplicar el BCP38 a nuestras redes:
>>>>
>>>> New York Times
>>>> http://www.nytimes.com/2013/03/27/technology/internet/online-dispute-becomes-internet-snarling-attack.html
>>>>
>>>> http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet
>>>>
>>>>
>>>> Espero que en estas listas la mayoria se asegure que el trafico que
>>>> sale de sus redes y de sus clientes no sea de direcciones de IP "spoofeadas"
>>>>
>>>> Extracto del articulo del NY Times:
>>>>
>>>> "The heart of the problem, according to several Internet engineers, is
>>>> that many large Internet service providers have not set up their
>>>> networks to make sure that traffic leaving their networks is actually
>>>> coming from their own users. The potential security flaw has long been
>>>> known by Internet security specialists, but it has only recently been
>>>> exploited in a way that threatens the Internet infrastructure."
>>>>
>>>> Slds
>>>> as
>>>> _______________________________________________
>>>> LACNOG mailing list
>>>> LACNOG en lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>
>
>
Más información sobre la lista de distribución LACNOG