<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-1"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
{font-family:"Arial Rounded MT Bold";
panose-1:2 15 7 4 3 5 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
{mso-style-priority:99;
mso-style-link:"Texto de globo Car";
margin:0cm;
margin-bottom:.0001pt;
font-size:8.0pt;
font-family:"Tahoma","sans-serif";
mso-fareast-language:EN-US;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
{mso-style-priority:34;
margin-top:0cm;
margin-right:0cm;
margin-bottom:0cm;
margin-left:36.0pt;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-fareast-language:EN-US;}
span.TextodegloboCar
{mso-style-name:"Texto de globo Car";
mso-style-priority:99;
mso-style-link:"Texto de globo";
font-family:"Tahoma","sans-serif";}
span.EstiloCorreo19
{mso-style-type:personal;
font-family:"Calibri","sans-serif";
color:windowtext;}
span.EstiloCorreo20
{mso-style-type:personal-reply;
font-family:"Calibri","sans-serif";
color:#1F497D;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
{page:WordSection1;}
/* List Definitions */
@list l0
{mso-list-id:296423682;
mso-list-type:hybrid;
mso-list-template-ids:1181931724 537526287 537526297 537526299 537526287 537526297 537526299 537526287 537526297 537526299;}
@list l0:level1
{mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-18.0pt;}
@list l0:level2
{mso-level-number-format:alpha-lower;
mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-18.0pt;}
@list l0:level3
{mso-level-number-format:roman-lower;
mso-level-tab-stop:none;
mso-level-number-position:right;
text-indent:-9.0pt;}
@list l0:level4
{mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-18.0pt;}
@list l0:level5
{mso-level-number-format:alpha-lower;
mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-18.0pt;}
@list l0:level6
{mso-level-number-format:roman-lower;
mso-level-tab-stop:none;
mso-level-number-position:right;
text-indent:-9.0pt;}
@list l0:level7
{mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-18.0pt;}
@list l0:level8
{mso-level-number-format:alpha-lower;
mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-18.0pt;}
@list l0:level9
{mso-level-number-format:roman-lower;
mso-level-tab-stop:none;
mso-level-number-position:right;
text-indent:-9.0pt;}
ol
{margin-bottom:0cm;}
ul
{margin-bottom:0cm;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=ES-VE link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='color:#1F497D'>Buenos días,<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Ante todo saludos a todos, soy nuevo por esta lista y quisiera compartir un poco de mi experiencia; en nuestro país recibimos diariamente presuntos ataques DoS provenientes no solo desde Vietnam, sino de también desde China, Japón, Rusia y pare usted de contar. Antes de trabajar en Dayco viví un largo tiempo como Coordinador General del VenCERT (CSIRT Gubernamental de Venezuela) desde el momento de su creación hasta la operación estable y puedo decir con base que esta clase de ataques además de comunes en ambientes que poseen grandes segmentos de red (ISP, Hosting, etc) son también difíciles de mitigar en un 100%; seguro no diré nada que alguno de esta lista no sepa, pero no hay solución mágica o premisas que permitan hacer desaparecer o contener del todo esta clase de ataques; sin embargo desde mi punto de vista puedes:<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoListParagraph style='text-indent:-18.0pt;mso-list:l0 level1 lfo1'><![if !supportLists]><span style='color:#1F497D'><span style='mso-list:Ignore'>1.<span style='font:7.0pt "Times New Roman"'> </span></span></span><![endif]><span style='color:#1F497D'>Primero, entender que clase de ataque o tipo de vulnerabilidad está siendo aprovechada (volumen, vectores específicos, uso de toolkits, otra).<o:p></o:p></span></p><p class=MsoListParagraph style='text-indent:-18.0pt;mso-list:l0 level1 lfo1'><![if !supportLists]><span style='color:#1F497D'><span style='mso-list:Ignore'>2.<span style='font:7.0pt "Times New Roman"'> </span></span></span><![endif]><span style='color:#1F497D'>Establecer los umbrales de notificación en tus elementos de monitoreo para prevenir la reacción cuando el ataque ya se encuentre en proceso o haya causado daño (netflow, umbrales en gráficas y/o herramientas de monitoreo, mensajes de notificación IDS/IPS/FW, entre otros).<o:p></o:p></span></p><p class=MsoListParagraph style='text-indent:-18.0pt;mso-list:l0 level1 lfo1'><![if !supportLists]><span style='color:#1F497D'><span style='mso-list:Ignore'>3.<span style='font:7.0pt "Times New Roman"'> </span></span></span><![endif]><span style='color:#1F497D'>Establecer los elementos necesarios para almacenar los registros de presuntos ataques (syslog, sincronizar equipos, almacenamiento, otros).<o:p></o:p></span></p><p class=MsoListParagraph style='text-indent:-18.0pt;mso-list:l0 level1 lfo1'><![if !supportLists]><span style='color:#1F497D'><span style='mso-list:Ignore'>4.<span style='font:7.0pt "Times New Roman"'> </span></span></span><![endif]><span style='color:#1F497D'>Utilizar blackhole es una opción para contener, siempre y cuando tengas la comunidad:tag establecida con tu peer BGP.<o:p></o:p></span></p><p class=MsoListParagraph style='text-indent:-18.0pt;mso-list:l0 level1 lfo1'><![if !supportLists]><span style='color:#1F497D'><span style='mso-list:Ignore'>5.<span style='font:7.0pt "Times New Roman"'> </span></span></span><![endif]><span style='color:#1F497D'>Tener una capa de seguridad perimetral tan desagregada como los ataques que recibes.<o:p></o:p></span></p><p class=MsoListParagraph style='text-indent:-18.0pt;mso-list:l0 level1 lfo1'><![if !supportLists]><span style='color:#1F497D'><span style='mso-list:Ignore'>6.<span style='font:7.0pt "Times New Roman"'> </span></span></span><![endif]><span style='color:#1F497D'>Evaluar soluciones para tener un “Canal Limpio” u opciones de “Mitigación como Servicio”, hay varios proveedores en el mercado (google it!).<o:p></o:p></span></p><p class=MsoListParagraph style='text-indent:-18.0pt;mso-list:l0 level1 lfo1'><![if !supportLists]><span style='color:#1F497D'><span style='mso-list:Ignore'>7.<span style='font:7.0pt "Times New Roman"'> </span></span></span><![endif]><span style='color:#1F497D'>Todo esto puede llevar a una restructuración de tu arquitectura.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Al mismo tiempo, aplicar medidas puntuales para cerrar brechas abiertas por vulnerabilidades conocidas: parches, hotfixes, otras.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Apoyarte en el CSIRT de tu región que contacte al CSIRT de Vietnam (VNCERT), y a través de un procedimiento estándar para recopilar información proceda a reportar la dirección IP en cuestión:<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'>VNCERT – Viet Nam CERT<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US style='color:#1F497D'><a href="http://www.vncert.gov.vn/">http://www.vncert.gov.vn/</a><o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Contacto: <a href="http://www.vncert.gov.vn/lienhe.htm">http://www.vncert.gov.vn/lienhe.htm</a><o:p></o:p></span></p><div><p class=MsoNormal><span style='color:#1F497D;mso-fareast-language:ES-VE'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D;mso-fareast-language:ES-VE'>Liberar la dirección IP del blackhole, va a depender de que hayas podido identificar el vector de ataque asociado, contener el presunto ataque y mitigar el impacto o nivel de riesgo asociado a la vulnerabilidad aprovechada; sin embargo, eso no quiere decir que no pueda(n) utilizar otra(s) IP (por ejemplo torificándose) y explotar las debilidades que ya conoce…………. Cierto…!?!?<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D;mso-fareast-language:ES-VE'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D;mso-fareast-language:ES-VE'>Atte,<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D;mso-fareast-language:ES-VE'><o:p> </o:p></span></p><p class=MsoNormal><b><span style='font-size:9.0pt;color:#1F497D;mso-fareast-language:ES-VE'><img border=0 width=114 height=95 id="Imagen_x0020_1" src="cid:image003.gif@01CDD78E.1D2C41E0" alt="Descripción: Logo_NI2"><o:p></o:p></span></b></p><p class=MsoNormal><b><span style='font-size:9.0pt;color:#1F497D;mso-fareast-language:ES-VE'><o:p> </o:p></span></b></p><p class=MsoNormal><b><span style='font-size:9.0pt;color:#595959;mso-fareast-language:ES-VE'>Omar Alvarado Pargas</span></b><span style='font-size:9.0pt;color:#595959;mso-fareast-language:ES-VE'><o:p></o:p></span></p><p class=MsoNormal><b><i><span style='font-size:9.0pt;color:#595959;mso-fareast-language:ES-VE'>CISO | Gerencia de Ingenieria</span></i></b><span style='font-size:9.0pt;color:#595959;mso-fareast-language:ES-VE'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:8.0pt;color:#595959;mso-fareast-language:ES-VE'>Tlf: <b>+58 212 999.XXXX</b></span><b><span style='font-size:8.0pt;color:#7F7F7F;mso-fareast-language:ES-VE'> |</span></b><b><span style='font-size:8.0pt;color:#595959;mso-fareast-language:ES-VE'> </span></b><b><span style='font-size:8.0pt;color:#7F7F7F;mso-fareast-language:ES-VE'><o:p></o:p></span></b></p><p class=MsoNormal><b><span style='font-size:2.0pt;color:#7F7F7F;mso-fareast-language:ES-VE'><o:p> </o:p></span></b></p><p class=MsoNormal><span style='font-size:8.0pt;color:#7F7F7F;mso-fareast-language:ES-VE'>Torre Dayco, Calle Londres, Urb. Las Mercedes,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:8.0pt;color:#7F7F7F;mso-fareast-language:ES-VE'>Caracas, Venezuela. ZP 1060-A<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:8.0pt;color:#7F7F7F;mso-fareast-language:ES-VE'>Master <b>+58 212 999.XXXX<o:p></o:p></b></span></p><p class=MsoNormal><span style='font-size:2.0pt;color:#1F497D;mso-fareast-language:ES-VE'><o:p> </o:p></span></p><p class=MsoNormal><b><span style='font-size:8.0pt;color:#595959;mso-fareast-language:ES-VE'><a href="http://www.daycohost.com/"><span style='color:#595959'>daycohost.com</span></a><o:p></o:p></span></b></p><p class=MsoNormal><span style='color:#1F497D;mso-fareast-language:ES-VE'><o:p> </o:p></span></p><p class=MsoNormal><b><span style='font-size:8.0pt;color:#7F7F7F;mso-fareast-language:ES-VE'>DERECHOS DE USO<o:p></o:p></span></b></p><div style='mso-element:para-border-div;border-top:solid windowtext 1.0pt;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:none;padding:1.0pt 0cm 1.0pt 0cm'><p class=MsoNormal style='border:none;padding:0cm'><span style='font-size:8.0pt;color:#7F7F7F;mso-fareast-language:ES-VE'>La presente documentación de carácter privado y confidencial es propiedad de DAYCO Telecom, C.A., y esta dirigido exclusivamente a su(s) destinatario(s), no podrá ser objeto de reproducción total o parcial, ni transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, digital, registro o cualquier otro; tampoco podrá ser distribuido bajo ningún concepto sin el permiso previo y escrito de DAYCO Telecom, C.A. Si usted ha recibido este mensaje por error, debe evitar realizar cualquier acción descrita anteriormente, asimismo le agradecemos comunicarlo al remitente y borrar el mensaje o cualquier documento adjunto. El incumplimiento de las limitaciones señaladas por cualquier persona que tenga acceso a la documentación será sancionada de conformidad al marco jurídico vigente.<o:p></o:p></span></p></div></div><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span lang=ES style='font-size:10.0pt;font-family:"Tahoma","sans-serif";mso-fareast-language:ES-VE'>De:</span></b><span lang=ES style='font-size:10.0pt;font-family:"Tahoma","sans-serif";mso-fareast-language:ES-VE'> lacnog-bounces@lacnic.net [mailto:lacnog-bounces@lacnic.net] <b>En nombre de </b>Francisco Vargas Piedra<br><b>Enviado el:</b> martes, 11 de diciembre de 2012 10:46 a.m.<br><b>Para:</b> lacnog@lacnic.net<br><b>CC:</b> Ricardo Barquero Carranza<br><b>Asunto:</b> [lacnog] Ataque DoS<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span lang=ES-CR>Buenos días,<o:p></o:p></span></p><p class=MsoNormal><span lang=ES-CR><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-CR>Espero que todos se encuentren muy bien. Hemos estado recibiendo un ataque de DoS distribuido proveniente de Vietnam (básicamente de Viettel) y específicamente a una de nuestras direcciones IP ¿alguno ha tenido problemas similares? ¿cómo arrancar estos problemas de raíz? ¿cuál es la mejor solución (conozco soluciones como la de Arbor, pero buscamos un feedback de otras para mejorar nuestros sistemas) para combatir este tipo de ataques?<o:p></o:p></span></p><p class=MsoNormal><span lang=ES-CR><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-CR>Ojalá alguno me pueda dar retroalimentación. Me interesa saber si han tenido problemas similares provenientes de Vietnam.<o:p></o:p></span></p><p class=MsoNormal><span lang=ES-CR><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-CR>Ing. Francisco Vargas Piedra<o:p></o:p></span></p><table class=MsoNormalTable border=0 cellspacing=0 cellpadding=0 width=453 style='width:340.0pt;margin-left:2.75pt;border-collapse:collapse'><tr style='height:15.0pt'><td width=453 nowrap valign=bottom style='width:340.0pt;padding:0cm 3.5pt 0cm 3.5pt;height:15.0pt'><p class=MsoNormal><span style='mso-fareast-language:ES-CR'><img border=0 width=392 height=19 id="Imagen_x0020_3" src="cid:image004.gif@01CDD78E.1D2C41E0" alt="Descripción: Descripción: Descripción: Descripción: http://thinkbeforeprinting.org/struct/signature-1.gif"><span style='color:black'><o:p></o:p></span></span></p></td></tr></table><p class=MsoNormal><span lang=ES-CR><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-CR><o:p> </o:p></span></p><table class=MsoNormalTable border=0 cellspacing=0 cellpadding=0 width=453 style='width:340.0pt;margin-left:2.75pt;border-collapse:collapse'><tr style='height:27.0pt'><td width=168 nowrap rowspan=5 valign=bottom style='width:126.0pt;padding:0cm 3.5pt 0cm 3.5pt;height:27.0pt'><p class=MsoNormal><span style='mso-fareast-language:ES-CR'><img border=0 width=148 height=131 id="_x0034__x0020_Imagen" src="cid:image005.png@01CDD78E.1D2C41E0"><o:p></o:p></span></p></td><td width=285 style='width:214.0pt;padding:0cm 3.5pt 0cm 3.5pt;height:27.0pt'><p class=MsoNormal><b><span style='font-size:22.0pt;font-family:"Arial Rounded MT Bold","sans-serif";color:#1C75BB;mso-fareast-language:ES-CR'>Francisco<o:p></o:p></span></b></p></td></tr><tr style='height:18.0pt'><td width=285 style='width:214.0pt;padding:0cm 3.5pt 0cm 3.5pt;height:18.0pt'><p class=MsoNormal><b><span style='font-size:14.0pt;font-family:"Arial Rounded MT Bold","sans-serif";color:#244062;mso-fareast-language:ES-CR'>Vargas Piedra<o:p></o:p></span></b></p></td></tr><tr style='height:15.0pt'><td width=285 style='width:214.0pt;padding:0cm 3.5pt 0cm 3.5pt;height:15.0pt'><p class=MsoNormal><b><span style='font-family:"Arial","sans-serif";color:#A6A6A6;mso-fareast-language:ES-CR'>Ingeniero del Departamento de Datos <o:p></o:p></span></b></p></td></tr><tr style='height:15.0pt'><td width=285 style='width:214.0pt;padding:0cm 3.5pt 0cm 3.5pt;height:15.0pt'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#E26B0A;mso-fareast-language:ES-CR'>Teléfono directo: (506) 2520-7908<o:p></o:p></span></b></p></td></tr><tr style='height:17.25pt'><td width=285 style='width:214.0pt;padding:0cm 3.5pt 0cm 3.5pt;height:17.25pt'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Arial","sans-serif";color:#E26B0A;mso-fareast-language:ES-CR'>Teléfono celular: (506) 8875-1554<o:p></o:p></span></b></p></td></tr><tr style='height:15.0pt'><td width=453 nowrap colspan=2 valign=bottom style='width:340.0pt;padding:0cm 3.5pt 0cm 3.5pt;height:15.0pt'><p class=MsoNormal align=center style='text-align:center'><span style='mso-fareast-language:ES-CR'><img border=0 width=392 height=19 id="_x0033__x0020_Imagen" src="cid:image004.gif@01CDD78E.1D2C41E0" alt="Descripción: Descripción: Descripción: http://thinkbeforeprinting.org/struct/signature-1.gif"><span style='color:black'><o:p></o:p></span></span></p></td></tr></table><p class=MsoNormal><span lang=ES-CR style='mso-fareast-language:ES-CR'><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-CR><o:p> </o:p></span></p></div></body></html>