[lacnog] Amenaza DDoS

Christian O'Flaherty christian.oflaherty en gmail.com
Mie Dic 16 10:56:53 BRST 2015


Ivan, en la mayoría de los casos, el servicio debería estar habilitado
sin que tengas que pedirlo (antes puse el ejemplo de NTT porque me
pareció raro tener que pedirlo). Si te configuran la sesión BGP con
funcionalidad para modificar el localpref seguramente también estarán
incluyendo el blackhole.

Si conseguís la comunidad que usa tu upstream, podés hacer la prueba
con un /32 IPv4 sin pedir permiso (posiblemente no puedas anunciar mas
que eso). En el caso de Level3 la publican en radb... aunque tal vez
en Arg todavía usan el as3549 (no recuerdo cual era el # en GLBX, pero
no era secreto y estaba configurado por default para todos)

Buscando cual era la comunidad que usaba el as3549 encontré esta
presentaciones hecha para el foro de operadores de Brasil:
ftp://ftp.registro.br/pub/gter/gter18/03-gblx.BlackHole.pdf

Christian

2015-12-16 0:10 GMT-03:00 Ivan Chapero <info en ivanchapero.com.ar>:
> Estimado,
>
> viendo los mails anteriores, hay un par de operadores que lograron
> implementar RTBH con TECO y TASA, seria muy útil si podrían facilitar el
> contacto interno de dichos carriers que pueda destrabar la solicitud de
> dicha función.
>
> Administro el BGP de varios ISPs (pequeños), por lo que tuve contacto
> forzado con ejecutivos e ingenieros de cuentas totalmente variados. En todos
> los casos cuando se les pide RTBH parece que le estarías pidiendo un arma de
> tecnología marciana o similar. Sin ir mas lejos, la ultima respuesta del
> responsable de cuenta que más alto escaló el pedido fue esta:
>
> " Ahí lo reclamé y elevé al gerente de ingeniería y al mio…."
>
> El pedido si fue a blackhole, porque nunca más tuve novedades.
>
> Es ingenuo pensar que en los niveles de ingeniería y/o implementaciones de
> servicios de carriers de esta dimensión no conozcan los fundamentos y la
> simpleza de configurar algo así. Yo me quedo con la sospecha de que hay una
> bajada de linea comercial para que se contrate si o si los servicios estilo
> "clean pipe".
>
> Con TASA incluso recibí el folleto de la propuesta comercial... sobre-costos
> imposibles de aprobar, engorroso porque en todos los niveles de contrato es
> semi-automático y muy acotado el tiempo de mitigacion. Si encuentro el slide
> lo mando a la lista.
>
> Con TECO la contradicción fue muy cómica, me confirma el ejecutivo de cta.
> de unos de los enlaces que la solución de Mitigacion de DDoS no les estuvo
> funcionando bien a ISPs de poco BW por lo que no tiene autorizado seguir
> ofreciendola. Pero a su vez, tampoco dan lugar en ingeniería a un simple
> RTBH contra el peer.
>
> PD: con respecto a la sugerencia del contacto de CloudFlare, discrepo que
> con llevar el DC a la nube se reduzcan los ataques. En el 90% de los casos
> de los ISP BroadBand, donde tengo netflow para análisis, detectamos que se
> ataca a IPs de pools para CPEs que ni siquiera están asignadas por el
> agregador o activas realmente. Como decimos acá, al voleo totalmente.
> Llevar el tráfico de una red de los clientes de acceso al cloud es inviable,
> por volumen, latencia, mapeo de las CDNs, etc.
>
> Slds.
>
> El 15 de diciembre de 2015, 18:54, Nicolas Antoniello
> <nantoniello en gmail.com> escribió:
>>
>> Hola Federico,
>>
>> Bien, entonces no cobran por RTBH...
>> Ahora bien:
>> - TASA lo que te está dando parece ser justamente algo del estilo "clean
>> pipe" donde limpian del tráfico el ataque y te mandan lo que no es ataque...
>> eso tiene costos obviamente pues es un servicio particular que también tiene
>> costos para ellos...
>> Por otro lado, TIWS da RTBH... te diría que consultes a TASA por el
>> servicio de RTBH que SI da TIWS.
>> - LEVEL3: hasta donde se, si da RTBH... hablalo con algún técnico de
>> ellos.
>> - TECO: ahora no recuerdo bien, pero deberían dar ese servicio... es algo
>> MUY básico y no tiene mayores cargas administrativas pues se utilizan
>> comunidades y el proceso es totalmente y de forma muy simple de automatizar.
>> - CLARO: Ni idea... pero si te dijeron que no saben lo que es RTBH y
>> tampoco lo que es un "remote triggered black hole" se me hace que como
>> decimos en UY: están en el horno! De nuevo, tal vez no hablaste con alguien
>> técnico... en ocasiones los ejecutivos de cuenta no están tan familiarizados
>> con estos aspectos.
>>
>> Saludos,
>> Nicolas
>>
>>
>>
>>
>> 2015-12-15 14:11 GMT-03:00 Federico Kearney (WNinternet)
>> <federico en wninternet.com>:
>>>
>>> Estimados, los proveedores no me cobran por RTBH pero tampoco me lo dan.
>>>
>>> TASA: Te vende un servicio de mitigación DDoS con FILTRADO (no RTBH)
>>> hecho con equipos ARBOR.
>>> LEVEL3: Lo mismo que TASA, no se con que lo hacen
>>> TECO: idem level3
>>> CLARO: No saben bien que es RTBH si alguno lo tiene implementado, me pasa
>>> la comunidad?
>>>
>>> Saludos!
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>
>
>
> --
> Ivan Chapero
> Área Técnica y Soporte
> Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
> ivanchapero
> --
> GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito -
> Santa Fe - Argentina
>
>
>
>
>
>
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>



Más información sobre la lista de distribución LACNOG