[lacnog] Amenaza DDoS

Mie Dic 16 02:42:39 BRST 2015

Una forma medio rústica pero bastante efectiva cuando las papas queman es
tirar el comando en el router (varia de fabricante en fabricante) para
listar los flujos con mayor trafico (puede que haya que activar un debug o
estadísticas a nivel de flujos) y ver allí si hay una fuente identificable
(se lleva la gran mayoría de los flujos) o si son varias fuentes, en cuyo
caso es DDoS... Luego, mirando las IP origen sabemos si es de fuera o
dentro del ASN nuestro... Si se tiene netflow activado y el router aguanta
el guascazo, se puede ver en el colector de flow también.

Saludos,
Nico

El El mar, 15 de dic. de 2015 a las 22:18, Carlos M. Martinez <
cmm en cagnazzo.me> escribió:

> Me gustaría si todos pueden contar más o menos como están detectando las
> fuentes de los ddos
>
> Creo que es información de mucho interes para la comunidad.
>
> S2
>
> Carlos
>
> Sent using CloudMagic
> <https://cloudmagic.com/k/d/mailapp?ct=pi&cv=6.4.2&pv=8.3>
>
> On Tue, Dec 15, 2015 at 8:41 PM, Jaime Olmos <jaime en noc.udg.mx> wrote:
>
> Exacto estimado Tomas, sin mucho dinero y con un poco o mucho de ingenio.
> En el NOC-UDG a finales del siglo pasado :) y principios de éste, con
> algunos scripts en Perl (shell interactivos a CLI a través SSH/Telnet) con
> algo de RRDTool y TCPDump (mirror), detectábamos/mitigábamos abuses en
> ancho de banda y paquetes por segundo.
>
> Saludos,
> JAIME OLMOS
>
> http://www.ipv6.udg.mx
>
>
>
>
>
>
>
>
> On 12/15/15, 10:26 AM, "LACNOG on behalf of Tomas Lynch" <
> lacnog-bounces en lacnic.net on behalf of tomas.lynch en gmail.com> wrote:
>
> >Cobrar por black hole routing es como que yo les cobre por enviar
> >correos a esta lista. Definitivamente un DDoS no solamente afecta al
> >objetivo final sino que además causa problemas en toda la red.
> >
> >Sobre DDoS, con O'Flaherty desarrollamos, en una galaxia muy lejana,
> >un sistema Anti DDoS basado en netflow, RRD, perl y un BGP Zebra.
> >Tenía sus debilidades (el atacado igual se quedaba sin servicio,
> >claves en texto plano, cof, cof, etc.) pero funcionaba bastante bien y
> >el resto de la red no se veía afectado siguiendo este algoritmo
> >simple:
> >
> >1) Detección de tráfico anormal basado en cantidad de paquetes o ancho
> >de banda de una IP determinada
> >2) Desde RRD envío al Zebra de esa IP y comienzo de un contador
> >3) Zebra envía esa IP con varias comunidades que activan rutas
> >estáticas a null y las de Black Hole de los proveedores, a distintos
> >routers de la red
> >4) Quejas del atacado!!!
> >5) Finalización del timer en RRD y borrado de comunidades hacia null
> >
> >Lo sé, no es Arbor, no es SDN, era el comienzo de siglo, apenas yo
> >sabía configurar Perl, etc. Pero creo que hay cosas que se pueden
> >hacer sin mucho dinero y con un poco de ingenio y un poco de quejas
> >del cliente.
> >
> >Tomás
> >
> >
> >2015-12-15 10:26 GMT-05:00 Roberto Feijoo <rfeijoo en gigared.com.ar>:
> >> Este tema lo propuse el año pasado, cuando se habló sobre las lista de
> Spam,
> >> ahí comente que este es un tema muy complicado y que se debería tomar
> alguna
> >> acción por parte de la comunidad Internet.
> >> No creo que un ISP solo pueda resolver el problema ya que dichos ataques
> >> suelen saturar el vínculo del cliente atacado y del proveedor que le da
> >> servicio al cliente atacado también.
> >> Por lo tanto la solución pareciera ser un Mix entre el ISP y el Carrier
> Tier
> >> 1, y el Carrier Tier 1 debería contar con la posibilidad de bloquear el
> >> ataque lo más cercano al origen, para no absorber el tráfico
> >> innecesariamente.
> >> Una complicación básica es contar con la posibilidad de detectar e
> >> identificar la IP atacada para enviar el tráfico malicioso de dicha IP a
> >> Null, así y todo esto no soluciona la problemática del ISP, ya que
> debería
> >> pagar el costo del tráfico malicioso o la posible saturación del
> vínculo,
> >> con la problemática que esto trae para todos los clientes.
> >> Para poder realizar RTBH con el proveedor, deberíamos contar con la IP
> >> atacada y la posibilidad que el proveedor lo acepte el RTBH, no todos lo
> >> tienen implementado.
> >> Consulte varios proveedores de Argentina, los cuales algunos son muy
> >> costosos y otros no lo tienen como servicio todavía, actualmente estoy
> >> probando con un proveedor que tiene Arbor.
> >>
> >> Saludos.
> >>
> >>
> >>
> >> Roberto G. Feijoó
> >> Jefe de centro de operaciones de red
> >> Gigared S.A.
> >> Donado 840 – C1427CZB
> >> Ciudad Autónoma de Buenos Aires
> >> Tel.: (54011)6040.6071
> >> www.gigared.com.ar
> >>
> >> -----Mensaje original-----
> >> De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Christian
> >> O'Flaherty
> >> Enviado el: martes, 15 de diciembre de 2015 11:06 a.m.
> >> Para: Latin America and Caribbean Region Network Operators Group
> >> Asunto: Re: [lacnog] Amenaza DDoS
> >>
> >> Los proveedores no deberían cobrar por el "blackhole routing". Eso no
> tiene
> >> ningún costo de implementación y funciona desde hace mucho tiempo a
> nivel
> >> global.
> >>
> >> En algunos casos (NTT por ejemplo) no está habilitado por default:
> >> https://www.us.ntt.net/support/policy/routing.cfm#blackhole
> >>
> >> Christian
> >>
> >>
> >> 2015-12-15 10:58 GMT-03:00 Elizandro Pacheco
> >> <elizandro en pachecotecnologia.net>:
> >>> En Brasil la mayoría de las compañías cobran por el bloqueo, algunos
> >>> simplemente no lo hacen.
> >>>
> >>> En el asunto de los secuestros de datos que vemos aquí, los pagos son
> >>> por lo general en bitcoins.
> >>>
> >>> Atentamente,
> >>>
> >>> Elizandro Pacheco
> >>> Pacheco Tecnologia
> >>>
> >>>
> >>> Em 15 de dez de 2015, à(s) 11:52, Thiago Marinello
> >>> <thiago en marinello.eng.br>
> >>> escreveu:
> >>>
> >>> Un tema que siempre ha despertado la curiosidad de mí, tanto en
> >>> amenazas DDoS cuando en los casos de secuestro de datos es: ¿Qué forma
> >>> de "pago" que se propone por los delincuentes? Transferencias bancarias
> >> internacionales?
> >>> Bitcoins? ¿O qué?
> >>> __
> >>> Thiago Marinello
> >>> +55 19 992 480 860
> >>>
> >>>
> >>> 2015-12-15 13:01 GMT+00:00 Sanchez, Alvaro <asanchez en antel.com.uy>:
> >>>>
> >>>> Hola Graciela!
> >>>>
> >>>> Nosotros estamos empezando a utilizarlo. También nos interesa seguir
> >>>> el tema.
> >>>>
> >>>> Saludos.
> >>>>
> >>>>
> >>>>
> >>>> ________________________________
> >>>>
> >>>> De: LACNOG [mailto:lacnog-bounces en lacnic.net] En nombre de Graciela
> >>>> Martinez Enviado el: Martes, 15 de Diciembre de 2015 09:53 a.m.
> >>>> Para: Latin America and Caribbean Region Network Operators Group
> >>>> Asunto: Re: [lacnog] Amenaza DDoS
> >>>>
> >>>>
> >>>>
> >>>> Hola. Sé que algunos ISP utilizan Arbor.
> >>>>
> >>>> A mi me interesa mantenerme al tanto de lo que se pueda intercambiar
> >>>> con respecto a este tema, por lo que solicito que si se arma una
> >>>> discusión entre menos personas me integren a la misma.
> >>>>
> >>>> Muchas gracias.
> >>>>
> >>>> <image001.gif>
> >>>>
> >>>> Graciela Martínez
> >>>> Coordinadora de WARP
> >>>> WARP Coordinator
> >>>> # 4420
> >>>>
> >>>> <image002.gif>
> >>>>
> >>>> Casa de Internet de
> >>>> Latinoamérica y el Caribe
> >>>> Rambla Rep. de México 6125
> >>>> 11400 Montevideo-Uruguay
> >>>> +598 2604 22 22 www.lacnic.net
> >>>>
> >>>> El 14/12/2015 a las 23:42, Tomas Lynch escribió:
> >>>>
> >>>> 2015-12-14 15:37 GMT-05:00 Christian O'Flaherty
> >>>> <christian.oflaherty en gmail.com>:
> >>>>
> >>>>
> >>>>
> >>>> Estimados,
> >>>>
> >>>>
> >>>>
> >>>> Alguno ha recibido una amenaza (extorsión) de ataque DDoS en las
> >>>>
> >>>> últimas semanas?
> >>>>
> >>>>
> >>>>
> >>>>
> >>>>
> >>>> ¿Se reciben por correo, teléfono? ¿Son en español, inglés? ¿A quiénes
> >>>>
> >>>> llaman? ¿Han atacado luego de amenazar? Si cuando era admin de red
> >>>>
> >>>> hubiera recibido esta amenaza, hubiera colgado sin prestarle
> >>>> atención,
> >>>>
> >>>> si hoy lo fuera estaría más atento. Estaría bueno que estemos todos
> >>>>
> >>>> atentos.
> >>>>
> >>>>
> >>>>
> >>>> Abro un nuevo thread dentro de este, ¿qué se usa hoy para mitigar
> >>>>
> >>>> estos ataques? Sería bueno también que la gente que está protegida
> >>>> nos
> >>>>
> >>>> cuente.
> >>>>
> >>>>
> >>>>
> >>>> Tomás
> >>>>
> >>>>
> >>>>
> >>>> Pueden responderme offline si prefieren.
> >>>>
> >>>>
> >>>>
> >>>> Christian
> >>>>
> >>>> _______________________________________________
> >>>>
> >>>> LACNOG mailing list
> >>>>
> >>>> LACNOG en lacnic.net
> >>>>
> >>>> https://mail.lacnic.net/mailman/listinfo/lacnog
> >>>>
> >>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >>>>
> >>>> _______________________________________________
> >>>>
> >>>> LACNOG mailing list
> >>>>
> >>>> LACNOG en lacnic.net
> >>>>
> >>>> https://mail.lacnic.net/mailman/listinfo/lacnog
> >>>>
> >>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >>>>
> >>>>
> >>>>
> >>>>
> >>>> ________________________________
> >>>>
> >>>> El presente correo y cualquier posible archivo adjunto está dirigido
> >>>> únicamente al destinatario del mensaje y contiene información que
> >>>> puede ser confidencial. Si Ud. no es el destinatario correcto por
> >>>> favor notifique al remitente respondiendo anexando este mensaje y
> >>>> elimine inmediatamente el e-mail y los posibles archivos adjuntos al
> >>>> mismo de su sistema. Está prohibida cualquier utilización, difusión o
> >>>> copia de este e-mail por cualquier persona o entidad que no sean las
> >>>> específicas destinatarias del mensaje. ANTEL no acepta ninguna
> >>>> responsabilidad con respecto a cualquier comunicación que haya sido
> >>>> emitida incumpliendo nuestra Política de Seguridad de la Información
> >>>>
> >>>>
> >>>> This e-mail and any attachment is confidential and is intended solely
> >>>> for the addressee(s). If you are not intended recipient please inform
> >>>> the sender immediately, answering this e-mail and delete it as well
> >>>> as the attached files. Any use, circulation or copy of this e-mail by
> >>>> any person or entity that is not the specific addressee(s) is
> >>>> prohibited. ANTEL is not responsible for any communication emitted
> >>>> without respecting our Information Security Policy.
> >>>>
> >>>> _______________________________________________
> >>>> LACNOG mailing list
> >>>> LACNOG en lacnic.net
> >>>> https://mail.lacnic.net/mailman/listinfo/lacnog
> >>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >>>>
> >>>
> >>> _______________________________________________
> >>> LACNOG mailing list
> >>> LACNOG en lacnic.net
> >>> https://mail.lacnic.net/mailman/listinfo/lacnog
> >>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >>>
> >>>
> >>>
> >>> _______________________________________________
> >>> LACNOG mailing list
> >>> LACNOG en lacnic.net
> >>> https://mail.lacnic.net/mailman/listinfo/lacnog
> >>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >>>
> >> _______________________________________________
> >> LACNOG mailing list
> >> LACNOG en lacnic.net
> >> https://mail.lacnic.net/mailman/listinfo/lacnog
> >> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >>
> >> _______________________________________________
> >> LACNOG mailing list
> >> LACNOG en lacnic.net
> >> https://mail.lacnic.net/mailman/listinfo/lacnog
> >> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >_______________________________________________
> >LACNOG mailing list
> >LACNOG en lacnic.net
> >https://mail.lacnic.net/mailman/listinfo/lacnog
> >Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20151216/ae3b984c/attachment.html>