[lacnog] [LACNIC/Seguridad] Ataques DDoS basados en 'Chargen' ?

Carlos M. Martinez carlosm3011 en gmail.com
Jue Sep 5 14:21:58 BRT 2013


A pedido de la audiencia, y sin mucho rigor científico, corri nmap -O
contra algunas de las IPs que tengo.

Los resultados, de nuevo, sin demasiado rigor son:

-la mayoría de estas IPs son Ciscos viejos, IOS 12 o anteriores. Y no
solo tienen chargen abierto sino echo y datetime tambien. Esto se
deshabilita todo con una linea sola que es 'no tcp small-services' o
algo muy parecido.

- peero también encontré varias workstations Solaris y varias
workstations HP/UX, que tienen chargen habilitado, tambien echo
(curiosamente no datetime) y en el caso de las Sun tienen abierto el X11
y el 'sun management console'.

Creo también hay involucrado algún tipo de modem DSL u otro dispositivo
masivo, ya que muchas de las IPs que probe pertenecen a pooles que
tienen resolución reversa con dominios que dicen '...dialup' o
'...adsl', etc.

s2

~Carlos

On 9/2/13 9:02 PM, Fernando Gont wrote:
> On 09/02/2013 02:46 PM, Carlos M. Martinez wrote:
>>
>> Tengo los datos de las IPs individuales, se los puedo pasar, pero me
>> tienen que convencer de que son (a) contacto del ORG-ID asociado al ASN,
>> o (b) un CSIRT / CERT activo en el país en cuestión y con
>> responsabilidad de coordinación. Para ello por favor me escriben *por
>> correo privado*
> 
> Como mencionó Iván: Hiciste (o "alguien hizo", si lo preferis :-) ) un
> nmap -O de algunass de esas direcciones?
> 
> Sería interesante ver que tan "actuable" (*) es el caso... Ya que si son
> equipos de usuarios finales (conectados a una IP publica??), sería
> interesante hasta que punto se puede hacer algo al respecto.
> 
> (*) chargen no es un servicio super utilizado en la Internet publica,
> así que eventualmente lo podría filtrar e ISP -- y de paso debatimos
> sobre la neutralidad de la red y esas cosas :-)
> 
> Saludos,
> 



Más información sobre la lista de distribución LACNOG