[lacnog] [LACNIC/Seguridad] Ataques DDoS basados en 'Chargen' ?
Arturo Servin
aservin en lacnic.net
Lun Sep 2 15:36:21 BRT 2013
De hecho no es una botnet.
Simplemente que el chargen es un buen servicio que abusar dado su ratio
de multiplicación de respuesta en bytes.
Como dice Ivan, el tema se trato hace un rato en NANOG como "chargen is
the new DDoS tool?"
Slds
as
On 9/2/13 3:32 PM, Carlos M. Martinez wrote:
> Hola Ivan,
>
> la verdad que no he mirado la lista en detalle, solamente la clasifique
> por ASN y me estuve conectando a algunas direcciones al azar,
> efectivamente hay en servicios chargen respondiendo en muchisimas de ellas.
>
> Yo creo como vos, que mas que una botnet estamos frente a algún
> dispositivo que trae ese servicio por defecto, yo diria probablmente
> algun modem DSL o FTTH, y que está siendo explotado por atacantes.
>
> s2
>
> ~Carlos
>
> On 9/2/13 3:17 PM, Iván Arce wrote:
>> Hola Carlos,
>>
>> Es articulo de Sans es de abril de este año, el tema se discutió en la
>> lista de mail de Nanog en junio (http://seclists.org/nanog/2013/Jun/259).
>>
>> Aparentemente la mayoría de los dispositivos que reflejan el tráfico son
>> impresoras que vienen con el servicio habilitado por defecto, aunque no
>> descartaría alguna marca/modelo de router ADSL específico o algun otro
>> dispositivo, p.e. cámaras de vigilancia.
>>
>> Encontraste algun patrón de ese tipo en lista de IPs ?
>>
>> saludos,
>> -ivan
>>
>> On 9/2/13 2:46 PM, Carlos M. Martinez wrote:
>>> Me han pasado datos de servidores chargen de la región de LACNIC que
>>> habrían estado involucrados.
>>>
>>> Los top 20 ASNs de nuestra región involucrados en este ataque son:
>>>
>>> count| asn | cc | registry
>>> 667|11888 | MX | lacnic
>>> 530|6503 | MX | lacnic
>>> 476|28573 | BR | lacnic
>>> 370|26599 | BR | lacnic
>>> 322|8151 | MX | lacnic
>>> 314|27699 | BR | lacnic
>>> 288|11172 | MX | lacnic
>>> 241|7738 | BR | lacnic
>>> 233|4230 | BR | lacnic
>>> 216|18881 | BR | lacnic
>>> 179|7465 | BR | lacnic
>>> 171|10429 | BR | lacnic
>>> 158|26596 | CO | lacnic
>>> 140|8048 | VE | lacnic
>>> 107|13878 | BR | lacnic
>>> 100|26615 | BR | lacnic
>>> 93|22085 | BR | lacnic
>>> 78|10620 | CO | lacnic
>>> 75|13489 | CO | lacnic
>>> 74|262352 | BR | lacnic
>>>
>>> Tengo los datos de las IPs individuales, se los puedo pasar, pero me
>>> tienen que convencer de que son (a) contacto del ORG-ID asociado al ASN,
>>> o (b) un CSIRT / CERT activo en el país en cuestión y con
>>> responsabilidad de coordinación. Para ello por favor me escriben *por
>>> correo privado*
>>>
>>> s2
>>>
>>> ~Carlos
>>>
>>> On 9/2/13 11:40 AM, Luar Roji wrote:
>>>> Yo lo uso diariamente, al igual que gopher, finger y talk! :P
>>>>
>>>>
>>>> 2013/9/2 Carlos M. Martinez <carlosm3011 en gmail.com
>>>> <mailto:carlosm3011 en gmail.com>>
>>>>
>>>> https://isc.sans.edu/diary/15647
>>>>
>>>> Y yo que pensé que chargen era algo que habíamos deshabilitado todos
>>>> circa 1999 :-)
>>>>
>>>> s2
>>>>
>>>> ~Carlos
>>>> _______________________________________________
>>>> LACNOG mailing list
>>>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>>> <mailto:lacnog-unsubscribe en lacnic.net>
>>>>
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> LACNOG mailing list
>>>> LACNOG en lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>>>
>>> _______________________________________________
>>> Seguridad mailing list
>>> Seguridad en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/seguridad
>>>
>>
>> _______________________________________________
>> Seguridad mailing list
>> Seguridad en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/seguridad
>>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>
Más información sobre la lista de distribución LACNOG