[lacnog] [LACNIC/Seguridad] Ataques DDoS basados en 'Chargen' ?

Carlos M. Martinez carlosm3011 en gmail.com
Jue Sep 5 14:37:29 BRT 2013 

Y me olvidé de los inefables e infaltables Windows 2000/2003. Miren esta
joya (de la que por razones obvias no muestro la IP, valga decir nomas
que es de Argentina):

Starting Nmap 6.25 ( http://nmap.org ) at 2013-09-05 14:29 UYT
Nmap scan report for a.b.c.d
Host is up (0.083s latency).
Not shown: 977 closed ports
PORT     STATE SERVICE
7/tcp    open  echo
9/tcp    open  discard
13/tcp   open  daytime
17/tcp   open  qotd
19/tcp   open  chargen
21/tcp   open  ftp
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
143/tcp  open  imap
366/tcp  open  odmr
443/tcp  open  https
587/tcp  open  submission
1000/tcp open  cadlock
1026/tcp open  LSA-or-nterm
1027/tcp open  IIS
1028/tcp open  unknown
1029/tcp open  ms-lsa
3000/tcp open  ppp
3389/tcp open  ms-wbt-server
Device type: general purpose
Running: Microsoft Windows 2000|XP
OS CPE: cpe:/o:microsoft:windows_2000::sp4:server
cpe:/o:microsoft:windows_xp::sp3:professional
OS details: Microsoft Windows 2000 Server SP4 or Windows XP Professional SP3
Network Distance: 11 hops


On 9/5/13 2:21 PM, Carlos M. Martinez wrote:
> A pedido de la audiencia, y sin mucho rigor científico, corri nmap -O
> contra algunas de las IPs que tengo.
> 
> Los resultados, de nuevo, sin demasiado rigor son:
> 
> -la mayoría de estas IPs son Ciscos viejos, IOS 12 o anteriores. Y no
> solo tienen chargen abierto sino echo y datetime tambien. Esto se
> deshabilita todo con una linea sola que es 'no tcp small-services' o
> algo muy parecido.
> 
> - peero también encontré varias workstations Solaris y varias
> workstations HP/UX, que tienen chargen habilitado, tambien echo
> (curiosamente no datetime) y en el caso de las Sun tienen abierto el X11
> y el 'sun management console'.
> 
> Creo también hay involucrado algún tipo de modem DSL u otro dispositivo
> masivo, ya que muchas de las IPs que probe pertenecen a pooles que
> tienen resolución reversa con dominios que dicen '...dialup' o
> '...adsl', etc.
> 
> s2
> 
> ~Carlos
> 
> On 9/2/13 9:02 PM, Fernando Gont wrote:
>> On 09/02/2013 02:46 PM, Carlos M. Martinez wrote:
>>>
>>> Tengo los datos de las IPs individuales, se los puedo pasar, pero me
>>> tienen que convencer de que son (a) contacto del ORG-ID asociado al ASN,
>>> o (b) un CSIRT / CERT activo en el país en cuestión y con
>>> responsabilidad de coordinación. Para ello por favor me escriben *por
>>> correo privado*
>>
>> Como mencionó Iván: Hiciste (o "alguien hizo", si lo preferis :-) ) un
>> nmap -O de algunass de esas direcciones?
>>
>> Sería interesante ver que tan "actuable" (*) es el caso... Ya que si son
>> equipos de usuarios finales (conectados a una IP publica??), sería
>> interesante hasta que punto se puede hacer algo al respecto.
>>
>> (*) chargen no es un servicio super utilizado en la Internet publica,
>> así que eventualmente lo podría filtrar e ISP -- y de paso debatimos
>> sobre la neutralidad de la red y esas cosas :-)
>>
>> Saludos,
>>

Más información sobre la lista de distribución LACNOG