[lacnog] Amenaza DDoS
Carlos M. Martinez
cmm en cagnazzo.me
Mar Dic 15 22:57:53 BRST 2015
Me gustaría si todos pueden contar más o menos como están detectando las fuentes
de los ddos
Creo que es información de mucho interes para la comunidad.
S2
Carlos
Sent using CloudMagic [https://cloudmagic.com/k/d/mailapp?ct=pi&cv=6.4.2&pv=8.3]
On Tue, Dec 15, 2015 at 8:41 PM, Jaime Olmos <jaime en noc.udg.mx> wrote:
Exacto estimado Tomas, sin mucho dinero y con un poco o mucho de ingenio. En el
NOC-UDG a finales del siglo pasado :) y principios de éste, con algunos scripts
en Perl (shell interactivos a CLI a través SSH/Telnet) con algo de RRDTool y
TCPDump (mirror), detectábamos/mitigábamos abuses en ancho de banda y paquetes
por segundo.
Saludos,
JAIME OLMOS
http://www.ipv6.udg.mx
On 12/15/15, 10:26 AM, "LACNOG on behalf of Tomas Lynch"
<lacnog-bounces en lacnic.net on behalf of tomas.lynch en gmail.com> wrote:
>Cobrar por black hole routing es como que yo les cobre por enviar
>correos a esta lista. Definitivamente un DDoS no solamente afecta al
>objetivo final sino que además causa problemas en toda la red.
>
>Sobre DDoS, con O'Flaherty desarrollamos, en una galaxia muy lejana,
>un sistema Anti DDoS basado en netflow, RRD, perl y un BGP Zebra.
>Tenía sus debilidades (el atacado igual se quedaba sin servicio,
>claves en texto plano, cof, cof, etc.) pero funcionaba bastante bien y
>el resto de la red no se veía afectado siguiendo este algoritmo
>simple:
>
>1) Detección de tráfico anormal basado en cantidad de paquetes o ancho
>de banda de una IP determinada
>2) Desde RRD envío al Zebra de esa IP y comienzo de un contador
>3) Zebra envía esa IP con varias comunidades que activan rutas
>estáticas a null y las de Black Hole de los proveedores, a distintos
>routers de la red
>4) Quejas del atacado!!!
>5) Finalización del timer en RRD y borrado de comunidades hacia null
>
>Lo sé, no es Arbor, no es SDN, era el comienzo de siglo, apenas yo
>sabía configurar Perl, etc. Pero creo que hay cosas que se pueden
>hacer sin mucho dinero y con un poco de ingenio y un poco de quejas
>del cliente.
>
>Tomás
>
>
>2015-12-15 10:26 GMT-05:00 Roberto Feijoo <rfeijoo en gigared.com.ar>:
>> Este tema lo propuse el año pasado, cuando se habló sobre las lista de Spam,
>> ahí comente que este es un tema muy complicado y que se debería tomar alguna
>> acción por parte de la comunidad Internet.
>> No creo que un ISP solo pueda resolver el problema ya que dichos ataques
>> suelen saturar el vínculo del cliente atacado y del proveedor que le da
>> servicio al cliente atacado también.
>> Por lo tanto la solución pareciera ser un Mix entre el ISP y el Carrier Tier
>> 1, y el Carrier Tier 1 debería contar con la posibilidad de bloquear el
>> ataque lo más cercano al origen, para no absorber el tráfico
>> innecesariamente.
>> Una complicación básica es contar con la posibilidad de detectar e
>> identificar la IP atacada para enviar el tráfico malicioso de dicha IP a
>> Null, así y todo esto no soluciona la problemática del ISP, ya que debería
>> pagar el costo del tráfico malicioso o la posible saturación del vínculo,
>> con la problemática que esto trae para todos los clientes.
>> Para poder realizar RTBH con el proveedor, deberíamos contar con la IP
>> atacada y la posibilidad que el proveedor lo acepte el RTBH, no todos lo
>> tienen implementado.
>> Consulte varios proveedores de Argentina, los cuales algunos son muy
>> costosos y otros no lo tienen como servicio todavía, actualmente estoy
>> probando con un proveedor que tiene Arbor.
>>
>> Saludos.
>>
>>
>>
>> Roberto G. Feijoó
>> Jefe de centro de operaciones de red
>> Gigared S.A.
>> Donado 840 – C1427CZB
>> Ciudad Autónoma de Buenos Aires
>> Tel.: (54011)6040.6071
>> www.gigared.com.ar
>>
>> -----Mensaje original-----
>> De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Christian
>> O'Flaherty
>> Enviado el: martes, 15 de diciembre de 2015 11:06 a.m.
>> Para: Latin America and Caribbean Region Network Operators Group
>> Asunto: Re: [lacnog] Amenaza DDoS
>>
>> Los proveedores no deberían cobrar por el "blackhole routing". Eso no tiene
>> ningún costo de implementación y funciona desde hace mucho tiempo a nivel
>> global.
>>
>> En algunos casos (NTT por ejemplo) no está habilitado por default:
>> https://www.us.ntt.net/support/policy/routing.cfm#blackhole
>>
>> Christian
>>
>>
>> 2015-12-15 10:58 GMT-03:00 Elizandro Pacheco
>> <elizandro en pachecotecnologia.net>:
>>> En Brasil la mayoría de las compañías cobran por el bloqueo, algunos
>>> simplemente no lo hacen.
>>>
>>> En el asunto de los secuestros de datos que vemos aquí, los pagos son
>>> por lo general en bitcoins.
>>>
>>> Atentamente,
>>>
>>> Elizandro Pacheco
>>> Pacheco Tecnologia
>>>
>>>
>>> Em 15 de dez de 2015, à(s) 11:52, Thiago Marinello
>>> <thiago en marinello.eng.br>
>>> escreveu:
>>>
>>> Un tema que siempre ha despertado la curiosidad de mí, tanto en
>>> amenazas DDoS cuando en los casos de secuestro de datos es: ¿Qué forma
>>> de "pago" que se propone por los delincuentes? Transferencias bancarias
>> internacionales?
>>> Bitcoins? ¿O qué?
>>> __
>>> Thiago Marinello
>>> +55 19 992 480 860
>>>
>>>
>>> 2015-12-15 13:01 GMT+00:00 Sanchez, Alvaro <asanchez en antel.com.uy>:
>>>>
>>>> Hola Graciela!
>>>>
>>>> Nosotros estamos empezando a utilizarlo. También nos interesa seguir
>>>> el tema.
>>>>
>>>> Saludos.
>>>>
>>>>
>>>>
>>>> ________________________________
>>>>
>>>> De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Graciela
>>>> Martinez Enviado el: Martes, 15 de Diciembre de 2015 09:53 a.m.
>>>> Para: Latin America and Caribbean Region Network Operators Group
>>>> Asunto: Re: [lacnog] Amenaza DDoS
>>>>
>>>>
>>>>
>>>> Hola. Sé que algunos ISP utilizan Arbor.
>>>>
>>>> A mi me interesa mantenerme al tanto de lo que se pueda intercambiar
>>>> con respecto a este tema, por lo que solicito que si se arma una
>>>> discusión entre menos personas me integren a la misma.
>>>>
>>>> Muchas gracias.
>>>>
>>>> <image001.gif>
>>>>
>>>> Graciela Martínez
>>>> Coordinadora de WARP
>>>> WARP Coordinator
>>>> # 4420
>>>>
>>>> <image002.gif>
>>>>
>>>> Casa de Internet de
>>>> Latinoamérica y el Caribe
>>>> Rambla Rep. de México 6125
>>>> 11400 Montevideo-Uruguay
>>>> +598 2604 22 22 www.lacnic.net
>>>>
>>>> El 14/12/2015 a las 23:42, Tomas Lynch escribió:
>>>>
>>>> 2015-12-14 15:37 GMT-05:00 Christian O'Flaherty
>>>> <christian.oflaherty en gmail.com>:
>>>>
>>>>
>>>>
>>>> Estimados,
>>>>
>>>>
>>>>
>>>> Alguno ha recibido una amenaza (extorsión) de ataque DDoS en las
>>>>
>>>> últimas semanas?
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> ¿Se reciben por correo, teléfono? ¿Son en español, inglés? ¿A quiénes
>>>>
>>>> llaman? ¿Han atacado luego de amenazar? Si cuando era admin de red
>>>>
>>>> hubiera recibido esta amenaza, hubiera colgado sin prestarle
>>>> atención,
>>>>
>>>> si hoy lo fuera estaría más atento. Estaría bueno que estemos todos
>>>>
>>>> atentos.
>>>>
>>>>
>>>>
>>>> Abro un nuevo thread dentro de este, ¿qué se usa hoy para mitigar
>>>>
>>>> estos ataques? Sería bueno también que la gente que está protegida
>>>> nos
>>>>
>>>> cuente.
>>>>
>>>>
>>>>
>>>> Tomás
>>>>
>>>>
>>>>
>>>> Pueden responderme offline si prefieren.
>>>>
>>>>
>>>>
>>>> Christian
>>>>
>>>> _______________________________________________
>>>>
>>>> LACNOG mailing list
>>>>
>>>> LACNOG en lacnic.net
>>>>
>>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>>
>>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>>
>>>> _______________________________________________
>>>>
>>>> LACNOG mailing list
>>>>
>>>> LACNOG en lacnic.net
>>>>
>>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>>
>>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>>
>>>>
>>>>
>>>>
>>>> ________________________________
>>>>
>>>> El presente correo y cualquier posible archivo adjunto está dirigido
>>>> únicamente al destinatario del mensaje y contiene información que
>>>> puede ser confidencial. Si Ud. no es el destinatario correcto por
>>>> favor notifique al remitente respondiendo anexando este mensaje y
>>>> elimine inmediatamente el e-mail y los posibles archivos adjuntos al
>>>> mismo de su sistema. Está prohibida cualquier utilización, difusión o
>>>> copia de este e-mail por cualquier persona o entidad que no sean las
>>>> específicas destinatarias del mensaje. ANTEL no acepta ninguna
>>>> responsabilidad con respecto a cualquier comunicación que haya sido
>>>> emitida incumpliendo nuestra Política de Seguridad de la Información
>>>>
>>>>
>>>> This e-mail and any attachment is confidential and is intended solely
>>>> for the addressee(s). If you are not intended recipient please inform
>>>> the sender immediately, answering this e-mail and delete it as well
>>>> as the attached files. Any use, circulation or copy of this e-mail by
>>>> any person or entity that is not the specific addressee(s) is
>>>> prohibited. ANTEL is not responsible for any communication emitted
>>>> without respecting our Information Security Policy.
>>>>
>>>> _______________________________________________
>>>> LACNOG mailing list
>>>> LACNOG en lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>>
>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>
>>>
>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>_______________________________________________
>LACNOG mailing list
>LACNOG en lacnic.net
>https://mail.lacnic.net/mailman/listinfo/lacnog
>Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151215/09aad354/attachment.html>
Más información sobre la lista de distribución LACNOG