[lacnog] Amenaza DDoS
Tomas Lynch
tomas.lynch en gmail.com
Mar Dic 15 14:26:29 BRST 2015
Cobrar por black hole routing es como que yo les cobre por enviar
correos a esta lista. Definitivamente un DDoS no solamente afecta al
objetivo final sino que además causa problemas en toda la red.
Sobre DDoS, con O'Flaherty desarrollamos, en una galaxia muy lejana,
un sistema Anti DDoS basado en netflow, RRD, perl y un BGP Zebra.
Tenía sus debilidades (el atacado igual se quedaba sin servicio,
claves en texto plano, cof, cof, etc.) pero funcionaba bastante bien y
el resto de la red no se veía afectado siguiendo este algoritmo
simple:
1) Detección de tráfico anormal basado en cantidad de paquetes o ancho
de banda de una IP determinada
2) Desde RRD envío al Zebra de esa IP y comienzo de un contador
3) Zebra envía esa IP con varias comunidades que activan rutas
estáticas a null y las de Black Hole de los proveedores, a distintos
routers de la red
4) Quejas del atacado!!!
5) Finalización del timer en RRD y borrado de comunidades hacia null
Lo sé, no es Arbor, no es SDN, era el comienzo de siglo, apenas yo
sabía configurar Perl, etc. Pero creo que hay cosas que se pueden
hacer sin mucho dinero y con un poco de ingenio y un poco de quejas
del cliente.
Tomás
2015-12-15 10:26 GMT-05:00 Roberto Feijoo <rfeijoo en gigared.com.ar>:
> Este tema lo propuse el año pasado, cuando se habló sobre las lista de Spam,
> ahí comente que este es un tema muy complicado y que se debería tomar alguna
> acción por parte de la comunidad Internet.
> No creo que un ISP solo pueda resolver el problema ya que dichos ataques
> suelen saturar el vínculo del cliente atacado y del proveedor que le da
> servicio al cliente atacado también.
> Por lo tanto la solución pareciera ser un Mix entre el ISP y el Carrier Tier
> 1, y el Carrier Tier 1 debería contar con la posibilidad de bloquear el
> ataque lo más cercano al origen, para no absorber el tráfico
> innecesariamente.
> Una complicación básica es contar con la posibilidad de detectar e
> identificar la IP atacada para enviar el tráfico malicioso de dicha IP a
> Null, así y todo esto no soluciona la problemática del ISP, ya que debería
> pagar el costo del tráfico malicioso o la posible saturación del vínculo,
> con la problemática que esto trae para todos los clientes.
> Para poder realizar RTBH con el proveedor, deberíamos contar con la IP
> atacada y la posibilidad que el proveedor lo acepte el RTBH, no todos lo
> tienen implementado.
> Consulte varios proveedores de Argentina, los cuales algunos son muy
> costosos y otros no lo tienen como servicio todavía, actualmente estoy
> probando con un proveedor que tiene Arbor.
>
> Saludos.
>
>
>
> Roberto G. Feijoó
> Jefe de centro de operaciones de red
> Gigared S.A.
> Donado 840 – C1427CZB
> Ciudad Autónoma de Buenos Aires
> Tel.: (54011)6040.6071
> www.gigared.com.ar
>
> -----Mensaje original-----
> De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Christian
> O'Flaherty
> Enviado el: martes, 15 de diciembre de 2015 11:06 a.m.
> Para: Latin America and Caribbean Region Network Operators Group
> Asunto: Re: [lacnog] Amenaza DDoS
>
> Los proveedores no deberían cobrar por el "blackhole routing". Eso no tiene
> ningún costo de implementación y funciona desde hace mucho tiempo a nivel
> global.
>
> En algunos casos (NTT por ejemplo) no está habilitado por default:
> https://www.us.ntt.net/support/policy/routing.cfm#blackhole
>
> Christian
>
>
> 2015-12-15 10:58 GMT-03:00 Elizandro Pacheco
> <elizandro en pachecotecnologia.net>:
>> En Brasil la mayoría de las compañías cobran por el bloqueo, algunos
>> simplemente no lo hacen.
>>
>> En el asunto de los secuestros de datos que vemos aquí, los pagos son
>> por lo general en bitcoins.
>>
>> Atentamente,
>>
>> Elizandro Pacheco
>> Pacheco Tecnologia
>>
>>
>> Em 15 de dez de 2015, à(s) 11:52, Thiago Marinello
>> <thiago en marinello.eng.br>
>> escreveu:
>>
>> Un tema que siempre ha despertado la curiosidad de mí, tanto en
>> amenazas DDoS cuando en los casos de secuestro de datos es: ¿Qué forma
>> de "pago" que se propone por los delincuentes? Transferencias bancarias
> internacionales?
>> Bitcoins? ¿O qué?
>> __
>> Thiago Marinello
>> +55 19 992 480 860
>>
>>
>> 2015-12-15 13:01 GMT+00:00 Sanchez, Alvaro <asanchez en antel.com.uy>:
>>>
>>> Hola Graciela!
>>>
>>> Nosotros estamos empezando a utilizarlo. También nos interesa seguir
>>> el tema.
>>>
>>> Saludos.
>>>
>>>
>>>
>>> ________________________________
>>>
>>> De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Graciela
>>> Martinez Enviado el: Martes, 15 de Diciembre de 2015 09:53 a.m.
>>> Para: Latin America and Caribbean Region Network Operators Group
>>> Asunto: Re: [lacnog] Amenaza DDoS
>>>
>>>
>>>
>>> Hola. Sé que algunos ISP utilizan Arbor.
>>>
>>> A mi me interesa mantenerme al tanto de lo que se pueda intercambiar
>>> con respecto a este tema, por lo que solicito que si se arma una
>>> discusión entre menos personas me integren a la misma.
>>>
>>> Muchas gracias.
>>>
>>> <image001.gif>
>>>
>>> Graciela Martínez
>>> Coordinadora de WARP
>>> WARP Coordinator
>>> # 4420
>>>
>>> <image002.gif>
>>>
>>> Casa de Internet de
>>> Latinoamérica y el Caribe
>>> Rambla Rep. de México 6125
>>> 11400 Montevideo-Uruguay
>>> +598 2604 22 22 www.lacnic.net
>>>
>>> El 14/12/2015 a las 23:42, Tomas Lynch escribió:
>>>
>>> 2015-12-14 15:37 GMT-05:00 Christian O'Flaherty
>>> <christian.oflaherty en gmail.com>:
>>>
>>>
>>>
>>> Estimados,
>>>
>>>
>>>
>>> Alguno ha recibido una amenaza (extorsión) de ataque DDoS en las
>>>
>>> últimas semanas?
>>>
>>>
>>>
>>>
>>>
>>> ¿Se reciben por correo, teléfono? ¿Son en español, inglés? ¿A quiénes
>>>
>>> llaman? ¿Han atacado luego de amenazar? Si cuando era admin de red
>>>
>>> hubiera recibido esta amenaza, hubiera colgado sin prestarle
>>> atención,
>>>
>>> si hoy lo fuera estaría más atento. Estaría bueno que estemos todos
>>>
>>> atentos.
>>>
>>>
>>>
>>> Abro un nuevo thread dentro de este, ¿qué se usa hoy para mitigar
>>>
>>> estos ataques? Sería bueno también que la gente que está protegida
>>> nos
>>>
>>> cuente.
>>>
>>>
>>>
>>> Tomás
>>>
>>>
>>>
>>> Pueden responderme offline si prefieren.
>>>
>>>
>>>
>>> Christian
>>>
>>> _______________________________________________
>>>
>>> LACNOG mailing list
>>>
>>> LACNOG en lacnic.net
>>>
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>
>>> _______________________________________________
>>>
>>> LACNOG mailing list
>>>
>>> LACNOG en lacnic.net
>>>
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>
>>>
>>>
>>>
>>> ________________________________
>>>
>>> El presente correo y cualquier posible archivo adjunto está dirigido
>>> únicamente al destinatario del mensaje y contiene información que
>>> puede ser confidencial. Si Ud. no es el destinatario correcto por
>>> favor notifique al remitente respondiendo anexando este mensaje y
>>> elimine inmediatamente el e-mail y los posibles archivos adjuntos al
>>> mismo de su sistema. Está prohibida cualquier utilización, difusión o
>>> copia de este e-mail por cualquier persona o entidad que no sean las
>>> específicas destinatarias del mensaje. ANTEL no acepta ninguna
>>> responsabilidad con respecto a cualquier comunicación que haya sido
>>> emitida incumpliendo nuestra Política de Seguridad de la Información
>>>
>>>
>>> This e-mail and any attachment is confidential and is intended solely
>>> for the addressee(s). If you are not intended recipient please inform
>>> the sender immediately, answering this e-mail and delete it as well
>>> as the attached files. Any use, circulation or copy of this e-mail by
>>> any person or entity that is not the specific addressee(s) is
>>> prohibited. ANTEL is not responsible for any communication emitted
>>> without respecting our Information Security Policy.
>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
Más información sobre la lista de distribución LACNOG