[lacnog] Amenaza DDoS

Luis Balbinot luis en luisbalbinot.com
Lun Ene 4 11:43:24 BRST 2016


Com a Level3 é necessário fechar uma segunda sessão BGP apenas para
anúncios de RTBH. O serviço não é cobrado.

Luís
On Dec 16, 2015 10:57, "Christian O'Flaherty" <christian.oflaherty en gmail.com>
wrote:

> Ivan, en la mayoría de los casos, el servicio debería estar habilitado
> sin que tengas que pedirlo (antes puse el ejemplo de NTT porque me
> pareció raro tener que pedirlo). Si te configuran la sesión BGP con
> funcionalidad para modificar el localpref seguramente también estarán
> incluyendo el blackhole.
>
> Si conseguís la comunidad que usa tu upstream, podés hacer la prueba
> con un /32 IPv4 sin pedir permiso (posiblemente no puedas anunciar mas
> que eso). En el caso de Level3 la publican en radb... aunque tal vez
> en Arg todavía usan el as3549 (no recuerdo cual era el # en GLBX, pero
> no era secreto y estaba configurado por default para todos)
>
> Buscando cual era la comunidad que usaba el as3549 encontré esta
> presentaciones hecha para el foro de operadores de Brasil:
> ftp://ftp.registro.br/pub/gter/gter18/03-gblx.BlackHole.pdf
>
> Christian
>
> 2015-12-16 0:10 GMT-03:00 Ivan Chapero <info en ivanchapero.com.ar>:
> > Estimado,
> >
> > viendo los mails anteriores, hay un par de operadores que lograron
> > implementar RTBH con TECO y TASA, seria muy útil si podrían facilitar el
> > contacto interno de dichos carriers que pueda destrabar la solicitud de
> > dicha función.
> >
> > Administro el BGP de varios ISPs (pequeños), por lo que tuve contacto
> > forzado con ejecutivos e ingenieros de cuentas totalmente variados. En
> todos
> > los casos cuando se les pide RTBH parece que le estarías pidiendo un
> arma de
> > tecnología marciana o similar. Sin ir mas lejos, la ultima respuesta del
> > responsable de cuenta que más alto escaló el pedido fue esta:
> >
> > " Ahí lo reclamé y elevé al gerente de ingeniería y al mio…."
> >
> > El pedido si fue a blackhole, porque nunca más tuve novedades.
> >
> > Es ingenuo pensar que en los niveles de ingeniería y/o implementaciones
> de
> > servicios de carriers de esta dimensión no conozcan los fundamentos y la
> > simpleza de configurar algo así. Yo me quedo con la sospecha de que hay
> una
> > bajada de linea comercial para que se contrate si o si los servicios
> estilo
> > "clean pipe".
> >
> > Con TASA incluso recibí el folleto de la propuesta comercial...
> sobre-costos
> > imposibles de aprobar, engorroso porque en todos los niveles de contrato
> es
> > semi-automático y muy acotado el tiempo de mitigacion. Si encuentro el
> slide
> > lo mando a la lista.
> >
> > Con TECO la contradicción fue muy cómica, me confirma el ejecutivo de
> cta.
> > de unos de los enlaces que la solución de Mitigacion de DDoS no les
> estuvo
> > funcionando bien a ISPs de poco BW por lo que no tiene autorizado seguir
> > ofreciendola. Pero a su vez, tampoco dan lugar en ingeniería a un simple
> > RTBH contra el peer.
> >
> > PD: con respecto a la sugerencia del contacto de CloudFlare, discrepo que
> > con llevar el DC a la nube se reduzcan los ataques. En el 90% de los
> casos
> > de los ISP BroadBand, donde tengo netflow para análisis, detectamos que
> se
> > ataca a IPs de pools para CPEs que ni siquiera están asignadas por el
> > agregador o activas realmente. Como decimos acá, al voleo totalmente.
> > Llevar el tráfico de una red de los clientes de acceso al cloud es
> inviable,
> > por volumen, latencia, mapeo de las CDNs, etc.
> >
> > Slds.
> >
> > El 15 de diciembre de 2015, 18:54, Nicolas Antoniello
> > <nantoniello en gmail.com> escribió:
> >>
> >> Hola Federico,
> >>
> >> Bien, entonces no cobran por RTBH...
> >> Ahora bien:
> >> - TASA lo que te está dando parece ser justamente algo del estilo "clean
> >> pipe" donde limpian del tráfico el ataque y te mandan lo que no es
> ataque...
> >> eso tiene costos obviamente pues es un servicio particular que también
> tiene
> >> costos para ellos...
> >> Por otro lado, TIWS da RTBH... te diría que consultes a TASA por el
> >> servicio de RTBH que SI da TIWS.
> >> - LEVEL3: hasta donde se, si da RTBH... hablalo con algún técnico de
> >> ellos.
> >> - TECO: ahora no recuerdo bien, pero deberían dar ese servicio... es
> algo
> >> MUY básico y no tiene mayores cargas administrativas pues se utilizan
> >> comunidades y el proceso es totalmente y de forma muy simple de
> automatizar.
> >> - CLARO: Ni idea... pero si te dijeron que no saben lo que es RTBH y
> >> tampoco lo que es un "remote triggered black hole" se me hace que como
> >> decimos en UY: están en el horno! De nuevo, tal vez no hablaste con
> alguien
> >> técnico... en ocasiones los ejecutivos de cuenta no están tan
> familiarizados
> >> con estos aspectos.
> >>
> >> Saludos,
> >> Nicolas
> >>
> >>
> >>
> >>
> >> 2015-12-15 14:11 GMT-03:00 Federico Kearney (WNinternet)
> >> <federico en wninternet.com>:
> >>>
> >>> Estimados, los proveedores no me cobran por RTBH pero tampoco me lo
> dan.
> >>>
> >>> TASA: Te vende un servicio de mitigación DDoS con FILTRADO (no RTBH)
> >>> hecho con equipos ARBOR.
> >>> LEVEL3: Lo mismo que TASA, no se con que lo hacen
> >>> TECO: idem level3
> >>> CLARO: No saben bien que es RTBH si alguno lo tiene implementado, me
> pasa
> >>> la comunidad?
> >>>
> >>> Saludos!
> >>> _______________________________________________
> >>> LACNOG mailing list
> >>> LACNOG en lacnic.net
> >>> https://mail.lacnic.net/mailman/listinfo/lacnog
> >>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >>
> >>
> >>
> >> _______________________________________________
> >> LACNOG mailing list
> >> LACNOG en lacnic.net
> >> https://mail.lacnic.net/mailman/listinfo/lacnog
> >> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >>
> >
> >
> >
> > --
> > Ivan Chapero
> > Área Técnica y Soporte
> > Fijo: 03464-470280 (interno 535) | Móvil:  03464-155-20282  | Skype ID:
> > ivanchapero
> > --
> > GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 -
> Arequito -
> > Santa Fe - Argentina
> >
> >
> >
> >
> >
> >
> >
> >
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> > Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
> >
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20160104/48579686/attachment.html>


Más información sobre la lista de distribución LACNOG