[lacnog] Amenaza DDoS
Carlos M. Martinez
carlosm3011 en gmail.com
Mie Dic 16 11:41:44 BRST 2015
Les aclaro el motivo de la pregunta, y algunas cosas mas sobre mi
interés en el tema:
- siempre estoy a la búsqueda de nuevo material para tutoriales y
presentaciones en los eventos de lacnic, y me está empezando a parecer
que el tema 'mitigación de DDoD' podría ser uno
- se que existen los componentes 'open source' para hacer muchas cosas
de estas, pero me gustaría saber como son usados en la práctica por los
operadores, como los integran, etc.
- también me interesa conocer las soluciones pagas, basadas en hardware
o appliances y también los servicios.
Saludos!
-Carlos
On 12/16/15 2:25 AM, Jaime Olmos wrote:
> Al igual que mi estimado Nicolás; pero para los que contamos con
> tecnologías como sflow en nuestros equipos, se pueden descargar el
> colector, de software libre, sFlow-RT. Esta herramienta tiene una
> interfaz amigable para visualizar flujos, además de ser programable,
> debido a que cuenta con APIs (open northbound) de desarrollo para
> obtener, filtrar y establecer umbrales de los flujos de tráfico que nos
> interese mitigar de manera dinámica.
>
> Ahora que si se cuenta con personal entusiasta, rudo e innovador :). Se
> pueden codificar aplicaciones en SDN, nosotros estamos desarrollando
> aplicaciones ligeras a través de Python, sFlow-RT y OpenFlow 1.3 para
> tirar, redireccionar o dar calidad de servicio (traffic shaping) al
> tráfico anómalo que pasa por switches y/o enrutadores mediante una
> controladora ODL, a partir de eventos detectados por el colector de sFlow.
>
> Saludos,
> Jaime Olmos
> http://www.ipv6.udg.mx
>
> On Dec 15, 2015, at 10:42 PM, Nicolas Antoniello <nantoniello en gmail.com
> <mailto:nantoniello en gmail.com>> wrote:
>
>> Una forma medio rústica pero bastante efectiva cuando las papas queman
>> es tirar el comando en el router (varia de fabricante en fabricante)
>> para listar los flujos con mayor trafico (puede que haya que activar
>> un debug o estadísticas a nivel de flujos) y ver allí si hay una
>> fuente identificable (se lleva la gran mayoría de los flujos) o si son
>> varias fuentes, en cuyo caso es DDoS... Luego, mirando las IP origen
>> sabemos si es de fuera o dentro del ASN nuestro... Si se tiene netflow
>> activado y el router aguanta el guascazo, se puede ver en el colector
>> de flow también.
>>
>> Saludos,
>> Nico
>>
>> El El mar, 15 de dic. de 2015 a las 22:18, Carlos M. Martinez
>> <cmm en cagnazzo.me <mailto:cmm en cagnazzo.me>> escribió:
>>
>> Me gustaría si todos pueden contar más o menos como están
>> detectando las fuentes de los ddos
>>
>> Creo que es información de mucho interes para la comunidad.
>>
>> S2
>>
>> Carlos
>>
>> Sent using CloudMagic
>> <https://cloudmagic.com/k/d/mailapp?ct=pi&cv=6.4.2&pv=8.3>
>>
>> On Tue, Dec 15, 2015 at 8:41 PM, Jaime Olmos <jaime en noc.udg.mx
>> <mailto:jaime en noc.udg.mx>> wrote:
>>
>> Exacto estimado Tomas, sin mucho dinero y con un poco o mucho
>> de ingenio. En el NOC-UDG a finales del siglo pasado :) y
>> principios de éste, con algunos scripts en Perl (shell
>> interactivos a CLI a través SSH/Telnet) con algo de RRDTool y
>> TCPDump (mirror), detectábamos/mitigábamos abuses en ancho de
>> banda y paquetes por segundo.
>>
>> Saludos,
>> JAIME OLMOS
>>
>> http://www.ipv6.udg.mx
>>
>>
>>
>>
>>
>>
>>
>>
>> On 12/15/15, 10:26 AM, "LACNOG on behalf of Tomas Lynch"
>> <lacnog-bounces en lacnic.net <mailto:lacnog-bounces en lacnic.net>
>> on behalf of tomas.lynch en gmail.com
>> <mailto:tomas.lynch en gmail.com>> wrote:
>>
>> >Cobrar por black hole routing es como que yo les cobre por enviar
>> >correos a esta lista. Definitivamente un DDoS no solamente
>> afecta al
>> >objetivo final sino que además causa problemas en toda la red.
>> >
>> >Sobre DDoS, con O'Flaherty desarrollamos, en una galaxia muy
>> lejana,
>> >un sistema Anti DDoS basado en netflow, RRD, perl y un BGP Zebra.
>> >Tenía sus debilidades (el atacado igual se quedaba sin servicio,
>> >claves en texto plano, cof, cof, etc.) pero funcionaba
>> bastante bien y
>> >el resto de la red no se veía afectado siguiendo este algoritmo
>> >simple:
>> >
>> >1) Detección de tráfico anormal basado en cantidad de
>> paquetes o ancho
>> >de banda de una IP determinada
>> >2) Desde RRD envío al Zebra de esa IP y comienzo de un contador
>> >3) Zebra envía esa IP con varias comunidades que activan rutas
>> >estáticas a null y las de Black Hole de los proveedores, a
>> distintos
>> >routers de la red
>> >4) Quejas del atacado!!!
>> >5) Finalización del timer en RRD y borrado de comunidades
>> hacia null
>> >
>> >Lo sé, no es Arbor, no es SDN, era el comienzo de siglo,
>> apenas yo
>> >sabía configurar Perl, etc. Pero creo que hay cosas que se pueden
>> >hacer sin mucho dinero y con un poco de ingenio y un poco de
>> quejas
>> >del cliente.
>> >
>> >Tomás
>> >
>> >
>> >2015-12-15 10:26 GMT-05:00 Roberto Feijoo
>> <rfeijoo en gigared.com.ar <mailto:rfeijoo en gigared.com.ar>>:
>> >> Este tema lo propuse el año pasado, cuando se habló sobre
>> las lista de Spam,
>> >> ahí comente que este es un tema muy complicado y que se
>> debería tomar alguna
>> >> acción por parte de la comunidad Internet.
>> >> No creo que un ISP solo pueda resolver el problema ya que
>> dichos ataques
>> >> suelen saturar el vínculo del cliente atacado y del
>> proveedor que le da
>> >> servicio al cliente atacado también.
>> >> Por lo tanto la solución pareciera ser un Mix entre el ISP
>> y el Carrier Tier
>> >> 1, y el Carrier Tier 1 debería contar con la posibilidad de
>> bloquear el
>> >> ataque lo más cercano al origen, para no absorber el tráfico
>> >> innecesariamente.
>> >> Una complicación básica es contar con la posibilidad de
>> detectar e
>> >> identificar la IP atacada para enviar el tráfico malicioso
>> de dicha IP a
>> >> Null, así y todo esto no soluciona la problemática del ISP,
>> ya que debería
>> >> pagar el costo del tráfico malicioso o la posible
>> saturación del vínculo,
>> >> con la problemática que esto trae para todos los clientes.
>> >> Para poder realizar RTBH con el proveedor, deberíamos
>> contar con la IP
>> >> atacada y la posibilidad que el proveedor lo acepte el
>> RTBH, no todos lo
>> >> tienen implementado.
>> >> Consulte varios proveedores de Argentina, los cuales
>> algunos son muy
>> >> costosos y otros no lo tienen como servicio todavía,
>> actualmente estoy
>> >> probando con un proveedor que tiene Arbor.
>> >>
>> >> Saludos.
>> >>
>> >>
>> >>
>> >> Roberto G. Feijoó
>> >> Jefe de centro de operaciones de red
>> >> Gigared S.A.
>> >> Donado 840 – C1427CZB
>> >> Ciudad Autónoma de Buenos Aires
>> >> Tel.: (54011)6040.6071
>> >> www.gigared.com.ar <http://www.gigared.com.ar>
>> >>
>> >> -----Mensaje original-----
>> >> De: LACNOG [mailto:lacnog-bounces en lacnic.net
>> <mailto:lacnog-bounces en lacnic.net>] En nombre de Christian
>> >> O'Flaherty
>> >> Enviado el: martes, 15 de diciembre de 2015 11:06 a.m.
>> >> Para: Latin America and Caribbean Region Network Operators
>> Group
>> >> Asunto: Re: [lacnog] Amenaza DDoS
>> >>
>> >> Los proveedores no deberían cobrar por el "blackhole
>> routing". Eso no tiene
>> >> ningún costo de implementación y funciona desde hace mucho
>> tiempo a nivel
>> >> global.
>> >>
>> >> En algunos casos (NTT por ejemplo) no está habilitado por
>> default:
>> >> https://www.us.ntt.net/support/policy/routing.cfm#blackhole
>> >>
>> >> Christian
>> >>
>> >>
>> >> 2015-12-15 10:58 GMT-03:00 Elizandro Pacheco
>> >> <elizandro en pachecotecnologia.net
>> <mailto:elizandro en pachecotecnologia.net>>:
>> >>> En Brasil la mayoría de las compañías cobran por el
>> bloqueo, algunos
>> >>> simplemente no lo hacen.
>> >>>
>> >>> En el asunto de los secuestros de datos que vemos aquí,
>> los pagos son
>> >>> por lo general en bitcoins.
>> >>>
>> >>> Atentamente,
>> >>>
>> >>> Elizandro Pacheco
>> >>> Pacheco Tecnologia
>> >>>
>> >>>
>> >>> Em 15 de dez de 2015, à(s) 11:52, Thiago Marinello
>> >>> <thiago en marinello.eng.br <mailto:thiago en marinello.eng.br>>
>> >>> escreveu:
>> >>>
>> >>> Un tema que siempre ha despertado la curiosidad de mí,
>> tanto en
>> >>> amenazas DDoS cuando en los casos de secuestro de datos
>> es: ¿Qué forma
>> >>> de "pago" que se propone por los delincuentes?
>> Transferencias bancarias
>> >> internacionales?
>> >>> Bitcoins? ¿O qué?
>> >>> __
>> >>> Thiago Marinello
>> >>> +55 19 992 480 860
>> >>>
>> >>>
>> >>> 2015-12-15 13:01 GMT+00:00 Sanchez, Alvaro
>> <asanchez en antel.com.uy <mailto:asanchez en antel.com.uy>>:
>> >>>>
>> >>>> Hola Graciela!
>> >>>>
>> >>>> Nosotros estamos empezando a utilizarlo. También nos
>> interesa seguir
>> >>>> el tema.
>> >>>>
>> >>>> Saludos.
>> >>>>
>> >>>>
>> >>>>
>> >>>> ________________________________
>> >>>>
>> >>>> De: LACNOG [mailto:lacnog-bounces en lacnic.net
>> <mailto:lacnog-bounces en lacnic.net>] En nombre de Graciela
>> >>>> Martinez Enviado el: Martes, 15 de Diciembre de 2015
>> 09:53 a.m.
>> >>>> Para: Latin America and Caribbean Region Network
>> Operators Group
>> >>>> Asunto: Re: [lacnog] Amenaza DDoS
>> >>>>
>> >>>>
>> >>>>
>> >>>> Hola. Sé que algunos ISP utilizan Arbor.
>> >>>>
>> >>>> A mi me interesa mantenerme al tanto de lo que se pueda
>> intercambiar
>> >>>> con respecto a este tema, por lo que solicito que si se
>> arma una
>> >>>> discusión entre menos personas me integren a la misma.
>> >>>>
>> >>>> Muchas gracias.
>> >>>>
>> >>>> <image001.gif>
>> >>>>
>> >>>> Graciela Martínez
>> >>>> Coordinadora de WARP
>> >>>> WARP Coordinator
>> >>>> # 4420
>> >>>>
>> >>>> <image002.gif>
>> >>>>
>> >>>> Casa de Internet de
>> >>>> Latinoamérica y el Caribe
>> >>>> Rambla Rep. de México 6125
>> >>>> 11400 Montevideo-Uruguay
>> >>>> +598 2604 22 22 www.lacnic.net <http://www.lacnic.net>
>> >>>>
>> >>>> El 14/12/2015 a las 23:42, Tomas Lynch escribió:
>> >>>>
>> >>>> 2015-12-14 15:37 GMT-05:00 Christian O'Flaherty
>> >>>> <christian.oflaherty en gmail.com
>> <mailto:christian.oflaherty en gmail.com>>:
>> >>>>
>> >>>>
>> >>>>
>> >>>> Estimados,
>> >>>>
>> >>>>
>> >>>>
>> >>>> Alguno ha recibido una amenaza (extorsión) de ataque DDoS
>> en las
>> >>>>
>> >>>> últimas semanas?
>> >>>>
>> >>>>
>> >>>>
>> >>>>
>> >>>>
>> >>>> ¿Se reciben por correo, teléfono? ¿Son en español,
>> inglés? ¿A quiénes
>> >>>>
>> >>>> llaman? ¿Han atacado luego de amenazar? Si cuando era
>> admin de red
>> >>>>
>> >>>> hubiera recibido esta amenaza, hubiera colgado sin prestarle
>> >>>> atención,
>> >>>>
>> >>>> si hoy lo fuera estaría más atento. Estaría bueno que
>> estemos todos
>> >>>>
>> >>>> atentos.
>> >>>>
>> >>>>
>> >>>>
>> >>>> Abro un nuevo thread dentro de este, ¿qué se usa hoy para
>> mitigar
>> >>>>
>> >>>> estos ataques? Sería bueno también que la gente que está
>> protegida
>> >>>> nos
>> >>>>
>> >>>> cuente.
>> >>>>
>> >>>>
>> >>>>
>> >>>> Tomás
>> >>>>
>> >>>>
>> >>>>
>> >>>> Pueden responderme offline si prefieren.
>> >>>>
>> >>>>
>> >>>>
>> >>>> Christian
>> >>>>
>> >>>> _______________________________________________
>> >>>>
>> >>>> LACNOG mailing list
>> >>>>
>> >>>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>> >>>>
>> >>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> >>>>
>> >>>> Cancelar suscripcion:
>> https://mail.lacnic.net/mailman/options/lacnog
>> >>>>
>> >>>> _______________________________________________
>> >>>>
>> >>>> LACNOG mailing list
>> >>>>
>> >>>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>> >>>>
>> >>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> >>>>
>> >>>> Cancelar suscripcion:
>> https://mail.lacnic.net/mailman/options/lacnog
>> >>>>
>> >>>>
>> >>>>
>> >>>>
>> >>>> ________________________________
>> >>>>
>> >>>> El presente correo y cualquier posible archivo adjunto
>> está dirigido
>> >>>> únicamente al destinatario del mensaje y contiene
>> información que
>> >>>> puede ser confidencial. Si Ud. no es el destinatario
>> correcto por
>> >>>> favor notifique al remitente respondiendo anexando este
>> mensaje y
>> >>>> elimine inmediatamente el e-mail y los posibles archivos
>> adjuntos al
>> >>>> mismo de su sistema. Está prohibida cualquier
>> utilización, difusión o
>> >>>> copia de este e-mail por cualquier persona o entidad que
>> no sean las
>> >>>> específicas destinatarias del mensaje. ANTEL no acepta
>> ninguna
>> >>>> responsabilidad con respecto a cualquier comunicación que
>> haya sido
>> >>>> emitida incumpliendo nuestra Política de Seguridad de la
>> Información
>> >>>>
>> >>>>
>> >>>> This e-mail and any attachment is confidential and is
>> intended solely
>> >>>> for the addressee(s). If you are not intended recipient
>> please inform
>> >>>> the sender immediately, answering this e-mail and delete
>> it as well
>> >>>> as the attached files. Any use, circulation or copy of
>> this e-mail by
>> >>>> any person or entity that is not the specific addressee(s) is
>> >>>> prohibited. ANTEL is not responsible for any
>> communication emitted
>> >>>> without respecting our Information Security Policy.
>> >>>>
>> >>>> _______________________________________________
>> >>>> LACNOG mailing list
>> >>>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>> >>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> >>>> Cancelar suscripcion:
>> https://mail.lacnic.net/mailman/options/lacnog
>> >>>>
>> >>>
>> >>> _______________________________________________
>> >>> LACNOG mailing list
>> >>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>> >>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> >>> Cancelar suscripcion:
>> https://mail.lacnic.net/mailman/options/lacnog
>> >>>
>> >>>
>> >>>
>> >>> _______________________________________________
>> >>> LACNOG mailing list
>> >>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>> >>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> >>> Cancelar suscripcion:
>> https://mail.lacnic.net/mailman/options/lacnog
>> >>>
>> >> _______________________________________________
>> >> LACNOG mailing list
>> >> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>> >> https://mail.lacnic.net/mailman/listinfo/lacnog
>> >> Cancelar suscripcion:
>> https://mail.lacnic.net/mailman/options/lacnog
>> >>
>> >> _______________________________________________
>> >> LACNOG mailing list
>> >> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>> >> https://mail.lacnic.net/mailman/listinfo/lacnog
>> >> Cancelar suscripcion:
>> https://mail.lacnic.net/mailman/options/lacnog
>> >_______________________________________________
>> >LACNOG mailing list
>> >LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>> >https://mail.lacnic.net/mailman/listinfo/lacnog
>> >Cancelar suscripcion:
>> https://mail.lacnic.net/mailman/options/lacnog
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion:
>> https://mail.lacnic.net/mailman/options/lacnog
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
Más información sobre la lista de distribución LACNOG