[lacnog] [LACNIC/Seguridad] Ataques DDoS basados en 'Chargen' ?
Carlos M. Martinez
carlosm3011 en gmail.com
Jue Sep 5 14:21:58 BRT 2013
A pedido de la audiencia, y sin mucho rigor científico, corri nmap -O
contra algunas de las IPs que tengo.
Los resultados, de nuevo, sin demasiado rigor son:
-la mayoría de estas IPs son Ciscos viejos, IOS 12 o anteriores. Y no
solo tienen chargen abierto sino echo y datetime tambien. Esto se
deshabilita todo con una linea sola que es 'no tcp small-services' o
algo muy parecido.
- peero también encontré varias workstations Solaris y varias
workstations HP/UX, que tienen chargen habilitado, tambien echo
(curiosamente no datetime) y en el caso de las Sun tienen abierto el X11
y el 'sun management console'.
Creo también hay involucrado algún tipo de modem DSL u otro dispositivo
masivo, ya que muchas de las IPs que probe pertenecen a pooles que
tienen resolución reversa con dominios que dicen '...dialup' o
'...adsl', etc.
s2
~Carlos
On 9/2/13 9:02 PM, Fernando Gont wrote:
> On 09/02/2013 02:46 PM, Carlos M. Martinez wrote:
>>
>> Tengo los datos de las IPs individuales, se los puedo pasar, pero me
>> tienen que convencer de que son (a) contacto del ORG-ID asociado al ASN,
>> o (b) un CSIRT / CERT activo en el país en cuestión y con
>> responsabilidad de coordinación. Para ello por favor me escriben *por
>> correo privado*
>
> Como mencionó Iván: Hiciste (o "alguien hizo", si lo preferis :-) ) un
> nmap -O de algunass de esas direcciones?
>
> Sería interesante ver que tan "actuable" (*) es el caso... Ya que si son
> equipos de usuarios finales (conectados a una IP publica??), sería
> interesante hasta que punto se puede hacer algo al respecto.
>
> (*) chargen no es un servicio super utilizado en la Internet publica,
> así que eventualmente lo podría filtrar e ISP -- y de paso debatimos
> sobre la neutralidad de la red y esas cosas :-)
>
> Saludos,
>
Más información sobre la lista de distribución LACNOG