[lacnog] Amenaza DDoS

Carlos M. Martinez carlosm3011 en gmail.com
Mie Dic 16 11:41:44 BRST 2015


Les aclaro el motivo de la pregunta, y algunas cosas mas sobre mi
interés en el tema:

- siempre estoy a la búsqueda de nuevo material para tutoriales y
presentaciones en los eventos de lacnic, y me está empezando a parecer
que el tema 'mitigación de DDoD' podría ser uno

- se que existen los componentes 'open source' para hacer muchas cosas
de estas, pero me gustaría saber como son usados en la práctica por los
operadores, como los integran, etc.

- también me interesa conocer las soluciones pagas, basadas en hardware
o appliances y también los servicios.

Saludos!

-Carlos

On 12/16/15 2:25 AM, Jaime Olmos wrote:
> Al igual que mi estimado Nicolás; pero para los que contamos con
> tecnologías como sflow en nuestros equipos, se pueden descargar el
> colector, de software libre, sFlow-RT. Esta herramienta tiene una
> interfaz amigable para visualizar flujos, además de ser programable,
> debido a que cuenta con APIs (open northbound) de desarrollo para
> obtener, filtrar y establecer umbrales de los flujos de tráfico que nos
> interese mitigar de manera dinámica.   
> 
> Ahora que si se cuenta con personal entusiasta, rudo e innovador :). Se
> pueden codificar aplicaciones en SDN, nosotros estamos desarrollando
> aplicaciones ligeras a través de Python, sFlow-RT y OpenFlow 1.3 para
> tirar, redireccionar o dar calidad de servicio (traffic shaping) al
> tráfico anómalo que pasa por switches y/o enrutadores mediante una
> controladora ODL, a partir de eventos detectados por el colector de sFlow.
> 
> Saludos,
> Jaime Olmos
> http://www.ipv6.udg.mx
> 
> On Dec 15, 2015, at 10:42 PM, Nicolas Antoniello <nantoniello en gmail.com
> <mailto:nantoniello en gmail.com>> wrote:
> 
>> Una forma medio rústica pero bastante efectiva cuando las papas queman
>> es tirar el comando en el router (varia de fabricante en fabricante)
>> para listar los flujos con mayor trafico (puede que haya que activar
>> un debug o estadísticas a nivel de flujos) y ver allí si hay una
>> fuente identificable (se lleva la gran mayoría de los flujos) o si son
>> varias fuentes, en cuyo caso es DDoS... Luego, mirando las IP origen
>> sabemos si es de fuera o dentro del ASN nuestro... Si se tiene netflow
>> activado y el router aguanta el guascazo, se puede ver en el colector
>> de flow también.
>>
>> Saludos,
>> Nico
>>
>> El El mar, 15 de dic. de 2015 a las 22:18, Carlos M. Martinez
>> <cmm en cagnazzo.me <mailto:cmm en cagnazzo.me>> escribió:
>>
>>     Me gustaría si todos pueden contar más o menos como están
>>     detectando las fuentes de los ddos
>>
>>     Creo que es información de mucho interes para la comunidad. 
>>
>>     S2
>>
>>     Carlos
>>
>>     Sent using CloudMagic
>>     <https://cloudmagic.com/k/d/mailapp?ct=pi&cv=6.4.2&pv=8.3>
>>
>>     On Tue, Dec 15, 2015 at 8:41 PM, Jaime Olmos <jaime en noc.udg.mx
>>     <mailto:jaime en noc.udg.mx>> wrote:
>>
>>         Exacto estimado Tomas, sin mucho dinero y con un poco o mucho
>>         de ingenio. En el NOC-UDG a finales del siglo pasado :) y
>>         principios de éste, con algunos scripts en Perl (shell
>>         interactivos a CLI a través SSH/Telnet) con algo de RRDTool y
>>         TCPDump (mirror), detectábamos/mitigábamos abuses en ancho de
>>         banda y paquetes por segundo.
>>
>>         Saludos,
>>         JAIME OLMOS
>>
>>         http://www.ipv6.udg.mx
>>
>>
>>
>>
>>
>>
>>
>>
>>         On 12/15/15, 10:26 AM, "LACNOG on behalf of Tomas Lynch"
>>         <lacnog-bounces en lacnic.net <mailto:lacnog-bounces en lacnic.net>
>>         on behalf of tomas.lynch en gmail.com
>>         <mailto:tomas.lynch en gmail.com>> wrote:
>>
>>         >Cobrar por black hole routing es como que yo les cobre por enviar
>>         >correos a esta lista. Definitivamente un DDoS no solamente
>>         afecta al
>>         >objetivo final sino que además causa problemas en toda la red.
>>         >
>>         >Sobre DDoS, con O'Flaherty desarrollamos, en una galaxia muy
>>         lejana,
>>         >un sistema Anti DDoS basado en netflow, RRD, perl y un BGP Zebra.
>>         >Tenía sus debilidades (el atacado igual se quedaba sin servicio,
>>         >claves en texto plano, cof, cof, etc.) pero funcionaba
>>         bastante bien y
>>         >el resto de la red no se veía afectado siguiendo este algoritmo
>>         >simple:
>>         >
>>         >1) Detección de tráfico anormal basado en cantidad de
>>         paquetes o ancho
>>         >de banda de una IP determinada
>>         >2) Desde RRD envío al Zebra de esa IP y comienzo de un contador
>>         >3) Zebra envía esa IP con varias comunidades que activan rutas
>>         >estáticas a null y las de Black Hole de los proveedores, a
>>         distintos
>>         >routers de la red
>>         >4) Quejas del atacado!!!
>>         >5) Finalización del timer en RRD y borrado de comunidades
>>         hacia null
>>         >
>>         >Lo sé, no es Arbor, no es SDN, era el comienzo de siglo,
>>         apenas yo
>>         >sabía configurar Perl, etc. Pero creo que hay cosas que se pueden
>>         >hacer sin mucho dinero y con un poco de ingenio y un poco de
>>         quejas
>>         >del cliente.
>>         >
>>         >Tomás
>>         >
>>         >
>>         >2015-12-15 10:26 GMT-05:00 Roberto Feijoo
>>         <rfeijoo en gigared.com.ar <mailto:rfeijoo en gigared.com.ar>>:
>>         >> Este tema lo propuse el año pasado, cuando se habló sobre
>>         las lista de Spam,
>>         >> ahí comente que este es un tema muy complicado y que se
>>         debería tomar alguna
>>         >> acción por parte de la comunidad Internet.
>>         >> No creo que un ISP solo pueda resolver el problema ya que
>>         dichos ataques
>>         >> suelen saturar el vínculo del cliente atacado y del
>>         proveedor que le da
>>         >> servicio al cliente atacado también.
>>         >> Por lo tanto la solución pareciera ser un Mix entre el ISP
>>         y el Carrier Tier
>>         >> 1, y el Carrier Tier 1 debería contar con la posibilidad de
>>         bloquear el
>>         >> ataque lo más cercano al origen, para no absorber el tráfico
>>         >> innecesariamente.
>>         >> Una complicación básica es contar con la posibilidad de
>>         detectar e
>>         >> identificar la IP atacada para enviar el tráfico malicioso
>>         de dicha IP a
>>         >> Null, así y todo esto no soluciona la problemática del ISP,
>>         ya que debería
>>         >> pagar el costo del tráfico malicioso o la posible
>>         saturación del vínculo,
>>         >> con la problemática que esto trae para todos los clientes.
>>         >> Para poder realizar RTBH con el proveedor, deberíamos
>>         contar con la IP
>>         >> atacada y la posibilidad que el proveedor lo acepte el
>>         RTBH, no todos lo
>>         >> tienen implementado.
>>         >> Consulte varios proveedores de Argentina, los cuales
>>         algunos son muy
>>         >> costosos y otros no lo tienen como servicio todavía,
>>         actualmente estoy
>>         >> probando con un proveedor que tiene Arbor.
>>         >>
>>         >> Saludos.
>>         >>
>>         >>
>>         >>
>>         >> Roberto G. Feijoó
>>         >> Jefe de centro de operaciones de red
>>         >> Gigared S.A.
>>         >> Donado 840 – C1427CZB
>>         >> Ciudad Autónoma de Buenos Aires
>>         >> Tel.: (54011)6040.6071
>>         >> www.gigared.com.ar <http://www.gigared.com.ar>
>>         >>
>>         >> -----Mensaje original-----
>>         >> De: LACNOG [mailto:lacnog-bounces en lacnic.net
>>         <mailto:lacnog-bounces en lacnic.net>] En nombre de Christian
>>         >> O'Flaherty
>>         >> Enviado el: martes, 15 de diciembre de 2015 11:06 a.m.
>>         >> Para: Latin America and Caribbean Region Network Operators
>>         Group
>>         >> Asunto: Re: [lacnog] Amenaza DDoS
>>         >>
>>         >> Los proveedores no deberían cobrar por el "blackhole
>>         routing". Eso no tiene
>>         >> ningún costo de implementación y funciona desde hace mucho
>>         tiempo a nivel
>>         >> global.
>>         >>
>>         >> En algunos casos (NTT por ejemplo) no está habilitado por
>>         default:
>>         >> https://www.us.ntt.net/support/policy/routing.cfm#blackhole
>>         >>
>>         >> Christian
>>         >>
>>         >>
>>         >> 2015-12-15 10:58 GMT-03:00 Elizandro Pacheco
>>         >> <elizandro en pachecotecnologia.net
>>         <mailto:elizandro en pachecotecnologia.net>>:
>>         >>> En Brasil la mayoría de las compañías cobran por el
>>         bloqueo, algunos
>>         >>> simplemente no lo hacen.
>>         >>>
>>         >>> En el asunto de los secuestros de datos que vemos aquí,
>>         los pagos son
>>         >>> por lo general en bitcoins.
>>         >>>
>>         >>> Atentamente,
>>         >>>
>>         >>> Elizandro Pacheco
>>         >>> Pacheco Tecnologia
>>         >>>
>>         >>>
>>         >>> Em 15 de dez de 2015, à(s) 11:52, Thiago Marinello
>>         >>> <thiago en marinello.eng.br <mailto:thiago en marinello.eng.br>>
>>         >>> escreveu:
>>         >>>
>>         >>> Un tema que siempre ha despertado la curiosidad de mí,
>>         tanto en
>>         >>> amenazas DDoS cuando en los casos de secuestro de datos
>>         es: ¿Qué forma
>>         >>> de "pago" que se propone por los delincuentes?
>>         Transferencias bancarias
>>         >> internacionales?
>>         >>> Bitcoins? ¿O qué?
>>         >>> __
>>         >>> Thiago Marinello
>>         >>> +55 19 992 480 860
>>         >>>
>>         >>>
>>         >>> 2015-12-15 13:01 GMT+00:00 Sanchez, Alvaro
>>         <asanchez en antel.com.uy <mailto:asanchez en antel.com.uy>>:
>>         >>>>
>>         >>>> Hola Graciela!
>>         >>>>
>>         >>>> Nosotros estamos empezando a utilizarlo. También nos
>>         interesa seguir
>>         >>>> el tema.
>>         >>>>
>>         >>>> Saludos.
>>         >>>>
>>         >>>>
>>         >>>>
>>         >>>> ________________________________
>>         >>>>
>>         >>>> De: LACNOG [mailto:lacnog-bounces en lacnic.net
>>         <mailto:lacnog-bounces en lacnic.net>] En nombre de Graciela
>>         >>>> Martinez Enviado el: Martes, 15 de Diciembre de 2015
>>         09:53 a.m.
>>         >>>> Para: Latin America and Caribbean Region Network
>>         Operators Group
>>         >>>> Asunto: Re: [lacnog] Amenaza DDoS
>>         >>>>
>>         >>>>
>>         >>>>
>>         >>>> Hola. Sé que algunos ISP utilizan Arbor.
>>         >>>>
>>         >>>> A mi me interesa mantenerme al tanto de lo que se pueda
>>         intercambiar
>>         >>>> con respecto a este tema, por lo que solicito que si se
>>         arma una
>>         >>>> discusión entre menos personas me integren a la misma.
>>         >>>>
>>         >>>> Muchas gracias.
>>         >>>>
>>         >>>> <image001.gif>
>>         >>>>
>>         >>>> Graciela Martínez
>>         >>>> Coordinadora de WARP
>>         >>>> WARP Coordinator
>>         >>>> # 4420
>>         >>>>
>>         >>>> <image002.gif>
>>         >>>>
>>         >>>> Casa de Internet de
>>         >>>> Latinoamérica y el Caribe
>>         >>>> Rambla Rep. de México 6125
>>         >>>> 11400 Montevideo-Uruguay
>>         >>>> +598 2604 22 22 www.lacnic.net <http://www.lacnic.net>
>>         >>>>
>>         >>>> El 14/12/2015 a las 23:42, Tomas Lynch escribió:
>>         >>>>
>>         >>>> 2015-12-14 15:37 GMT-05:00 Christian O'Flaherty
>>         >>>> <christian.oflaherty en gmail.com
>>         <mailto:christian.oflaherty en gmail.com>>:
>>         >>>>
>>         >>>>
>>         >>>>
>>         >>>> Estimados,
>>         >>>>
>>         >>>>
>>         >>>>
>>         >>>> Alguno ha recibido una amenaza (extorsión) de ataque DDoS
>>         en las
>>         >>>>
>>         >>>> últimas semanas?
>>         >>>>
>>         >>>>
>>         >>>>
>>         >>>>
>>         >>>>
>>         >>>> ¿Se reciben por correo, teléfono? ¿Son en español,
>>         inglés? ¿A quiénes
>>         >>>>
>>         >>>> llaman? ¿Han atacado luego de amenazar? Si cuando era
>>         admin de red
>>         >>>>
>>         >>>> hubiera recibido esta amenaza, hubiera colgado sin prestarle
>>         >>>> atención,
>>         >>>>
>>         >>>> si hoy lo fuera estaría más atento. Estaría bueno que
>>         estemos todos
>>         >>>>
>>         >>>> atentos.
>>         >>>>
>>         >>>>
>>         >>>>
>>         >>>> Abro un nuevo thread dentro de este, ¿qué se usa hoy para
>>         mitigar
>>         >>>>
>>         >>>> estos ataques? Sería bueno también que la gente que está
>>         protegida
>>         >>>> nos
>>         >>>>
>>         >>>> cuente.
>>         >>>>
>>         >>>>
>>         >>>>
>>         >>>> Tomás
>>         >>>>
>>         >>>>
>>         >>>>
>>         >>>> Pueden responderme offline si prefieren.
>>         >>>>
>>         >>>>
>>         >>>>
>>         >>>> Christian
>>         >>>>
>>         >>>> _______________________________________________
>>         >>>>
>>         >>>> LACNOG mailing list
>>         >>>>
>>         >>>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>>         >>>>
>>         >>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>         >>>>
>>         >>>> Cancelar suscripcion:
>>         https://mail.lacnic.net/mailman/options/lacnog
>>         >>>>
>>         >>>> _______________________________________________
>>         >>>>
>>         >>>> LACNOG mailing list
>>         >>>>
>>         >>>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>>         >>>>
>>         >>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>         >>>>
>>         >>>> Cancelar suscripcion:
>>         https://mail.lacnic.net/mailman/options/lacnog
>>         >>>>
>>         >>>>
>>         >>>>
>>         >>>>
>>         >>>> ________________________________
>>         >>>>
>>         >>>> El presente correo y cualquier posible archivo adjunto
>>         está dirigido
>>         >>>> únicamente al destinatario del mensaje y contiene
>>         información que
>>         >>>> puede ser confidencial. Si Ud. no es el destinatario
>>         correcto por
>>         >>>> favor notifique al remitente respondiendo anexando este
>>         mensaje y
>>         >>>> elimine inmediatamente el e-mail y los posibles archivos
>>         adjuntos al
>>         >>>> mismo de su sistema. Está prohibida cualquier
>>         utilización, difusión o
>>         >>>> copia de este e-mail por cualquier persona o entidad que
>>         no sean las
>>         >>>> específicas destinatarias del mensaje. ANTEL no acepta
>>         ninguna
>>         >>>> responsabilidad con respecto a cualquier comunicación que
>>         haya sido
>>         >>>> emitida incumpliendo nuestra Política de Seguridad de la
>>         Información
>>         >>>>
>>         >>>>
>>         >>>> This e-mail and any attachment is confidential and is
>>         intended solely
>>         >>>> for the addressee(s). If you are not intended recipient
>>         please inform
>>         >>>> the sender immediately, answering this e-mail and delete
>>         it as well
>>         >>>> as the attached files. Any use, circulation or copy of
>>         this e-mail by
>>         >>>> any person or entity that is not the specific addressee(s) is
>>         >>>> prohibited. ANTEL is not responsible for any
>>         communication emitted
>>         >>>> without respecting our Information Security Policy.
>>         >>>>
>>         >>>> _______________________________________________
>>         >>>> LACNOG mailing list
>>         >>>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>>         >>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>         >>>> Cancelar suscripcion:
>>         https://mail.lacnic.net/mailman/options/lacnog
>>         >>>>
>>         >>>
>>         >>> _______________________________________________
>>         >>> LACNOG mailing list
>>         >>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>>         >>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>         >>> Cancelar suscripcion:
>>         https://mail.lacnic.net/mailman/options/lacnog
>>         >>>
>>         >>>
>>         >>>
>>         >>> _______________________________________________
>>         >>> LACNOG mailing list
>>         >>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>>         >>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>         >>> Cancelar suscripcion:
>>         https://mail.lacnic.net/mailman/options/lacnog
>>         >>>
>>         >> _______________________________________________
>>         >> LACNOG mailing list
>>         >> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>>         >> https://mail.lacnic.net/mailman/listinfo/lacnog
>>         >> Cancelar suscripcion:
>>         https://mail.lacnic.net/mailman/options/lacnog
>>         >>
>>         >> _______________________________________________
>>         >> LACNOG mailing list
>>         >> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>>         >> https://mail.lacnic.net/mailman/listinfo/lacnog
>>         >> Cancelar suscripcion:
>>         https://mail.lacnic.net/mailman/options/lacnog
>>         >_______________________________________________
>>         >LACNOG mailing list
>>         >LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>>         >https://mail.lacnic.net/mailman/listinfo/lacnog
>>         >Cancelar suscripcion:
>>         https://mail.lacnic.net/mailman/options/lacnog
>>
>>         _______________________________________________
>>         LACNOG mailing list
>>         LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>>         https://mail.lacnic.net/mailman/listinfo/lacnog
>>         Cancelar suscripcion:
>>         https://mail.lacnic.net/mailman/options/lacnog
>>
>>     _______________________________________________
>>     LACNOG mailing list
>>     LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>>     https://mail.lacnic.net/mailman/listinfo/lacnog
>>     Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> 
> 
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> 



Más información sobre la lista de distribución LACNOG