[lacnog] Amenaza DDoS

Rogerio Mariano rogermariano.cala en yahoo.com
Mar Dic 15 15:10:41 BRST 2015 

Hola Christian!

Aqui no Brazil, praticamente todas as operadoras cobram por serviços em plataforma de Segurança de Perímetro e Clean-Pipe/Mitigation Service. A grande questão é que se for uma simples implantação eles deveriam cobrar ? Depende... e de vários aspectos, até porque uma ferramenta tipo o Peak Flow e TMS da Arbor, por exemplo são extremamente caros !  Agora isso pode variar como por exemplo o tamanho e a dinâmica do ataque, o tamanho da operadora e de seus clientes ou o quanto a equipe de operações tenho o conhecimento em manipular RPLs, filtros e Policies. 

Agora uma pergunta que uma pessoa que pensa em usar um serviço deste deve se fazer é:

Você é atacado permanentemente ? Ou ajusta os anúncios num caso de ataque?

Se for o segundo caso que é mais comum, existe algum trigger para ajustar automaticamente os anúncios?

Gerar este trigger com base em qual critério? Número de conexões half/open por determinado tempo?

Pergunto isso pois se é baseado nesses parâmetros, caímos na questão de habilitar ou não o statefull na borda. 


Isto vária e é endêmico a cada ISP/OSP/IXP..

Aqui no Brasil houve uma campanha bem sucedida do NIC.br para BLOQUEIO DA PORTA 25 para Regra AntiSpoofing
em todos ISPs do Brasil. Talvez a LACNOG possa endossar uma campanha parecida para a questão de RTBH. Mas o fato é que se cada ISP/OSP/IXP tivesse o bom senso de colocar ACLs nas interfaces de borda permitindo saída somente com seus blocos já seria uma grande coisa. Fora isso, vem recursos controversos como uRPF ou o RPSL.


------------------------------------------English---------------------------------------------

Here in Brazil, nearly all operators charge for services on Perimeter Security Platform and Clean-Pipe/Mitigation Service. The great thing is that if it is a simple deployment they should charge? ... and it depends on various aspects, because one type tool the Arbor Peak Flow and the TMS, for example are extremely expensive! Now this may vary such as the size and dynamics of the attack, the size of the operator and its customers or how the operations staff have the knowledge to manipulate RPLs, filters and Policies.


Now a question that a person who thinks of using such a service should do is:

You are attacked permanently? or adjust the properties on a case of attack?

If the second case is more common, there is some trigger to automatically adjust the ads?

Generate this trigger based on what criteria? Number of half/open connections for a specified time?

I ask this because it is based on these parameters, we fall on the issue of enabling or not the statefull on edge.

This various and is endemic to each ISP/OSP/IXP ..

Here in Brazil there was a successful campaign to NIC.br for "Port 25" to Rule antispoofing in all ISP/OSP/IXP of Brazil. Perhaps the LACNOG can endorse a similar campaign to the issue of RTBH. But the fact is that each ISP/OSP/IXP had the good sense to put ACLs on edge interfaces allowing output only with your blocks would be a great thing. Other than that, is controversial features like uRPF or RPSL. 

Best,
Rogerio Mariano

 


    Em Terça-feira, 15 de Dezembro de 2015 11:31, Alejandro Acosta <alejandroacostaalamo en gmail.com> escreveu:
 

  Hola,
   Una consulta.., asumo que por null0 hablas de Remote Trigger Blackhole Filtering (RTBH)?
   En caso afirmativo y por pura curiosidad, puedo consultarte si los upstreams providers quieren cobrar adicional por dicho "servicio"?
 
 Saludos, gracias,
 
 Alejandro,
 
 El 12/15/2015 a las 8:56 AM, federico en wninternet.com escribió:
  
 Nosotros recibimos DDoS varias veces al mes.
 No hay nada para defendernos sin ayuda de los carrier ya que te tiran con 2 o 3Gbit facil y nosotros no tenemos esa capacidad. Por lo que no queda otra que esperar que se pase o despublicar la red que esta siendo afectada por un rato y natear los clientes para qie puedan seguir navegando. Ningun carrier entiende lo que es la comunidad de null0 o se hacen los... para no dartela
 Solo silica nos ha dado la null 0 Saludos
  
  
 _______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
 
 
 
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

  
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151215/391aeb23/attachment.html>

Más información sobre la lista de distribución LACNOG