Coincido con Omar excepto lo de "torificándose" que no sé que es :) Se ve que antes era más fácil mitigar los ataques en un mundo donde nadie se torificaba.<br><br>Lo que sí sé es que los ataques no son persistentes, cuando se dan cuenta de que van a un blackhole dejan de atacar pero pueden volver en cualquier momento. El script que habla Chris donde a través del netflow analizabamos los flujos extraños y automáticamente poníamos la IP con comunidades de blackhole no es dificil de realizar y usabamos netflow, perl y Zebra. Espero encontrarlos y compartirlos aquí.<br>
<br>Tomás<br><br><br><div class="gmail_quote">2012/12/11 Omar Jose Alvarado <span dir="ltr"><<a href="mailto:alvaradoo@daycohost.com" target="_blank">alvaradoo@daycohost.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div link="blue" vlink="purple" lang="ES-VE"><div><p class="MsoNormal"><span style="color:#1f497d">Buenos días,<u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal">
<span style="color:#1f497d">Ante todo saludos a todos, soy nuevo por esta lista y quisiera compartir un poco de mi experiencia; en nuestro país recibimos diariamente presuntos ataques DoS provenientes no solo desde Vietnam, sino de también desde China, Japón, Rusia y pare usted de contar. Antes de trabajar en Dayco viví un largo tiempo como Coordinador General del VenCERT (CSIRT Gubernamental de Venezuela) desde el momento de su creación hasta la operación estable y puedo decir con base que esta clase de ataques además de comunes en ambientes que poseen grandes segmentos de red (ISP, Hosting, etc) son también difíciles de mitigar en un 100%; seguro no diré nada que alguno de esta lista no sepa, pero no hay solución mágica o premisas que permitan hacer desaparecer o contener del todo esta clase de ataques; sin embargo desde mi punto de vista puedes:<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p><u></u><span style="color:#1f497d"><span>1.<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><span style="color:#1f497d">Primero, entender que clase de ataque o tipo de vulnerabilidad está siendo aprovechada (volumen, vectores específicos, uso de toolkits, otra).<u></u><u></u></span></p>
<p><u></u><span style="color:#1f497d"><span>2.<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><span style="color:#1f497d">Establecer los umbrales de notificación en tus elementos de monitoreo para prevenir la reacción cuando el ataque ya se encuentre en proceso o haya causado daño (netflow, umbrales en gráficas y/o herramientas de monitoreo, mensajes de notificación IDS/IPS/FW, entre otros).<u></u><u></u></span></p>
<p><u></u><span style="color:#1f497d"><span>3.<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><span style="color:#1f497d">Establecer los elementos necesarios para almacenar los registros de presuntos ataques (syslog, sincronizar equipos, almacenamiento, otros).<u></u><u></u></span></p>
<p><u></u><span style="color:#1f497d"><span>4.<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><span style="color:#1f497d">Utilizar blackhole es una opción para contener, siempre y cuando tengas la comunidad:tag establecida con tu peer BGP.<u></u><u></u></span></p>
<p><u></u><span style="color:#1f497d"><span>5.<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><span style="color:#1f497d">Tener una capa de seguridad perimetral tan desagregada como los ataques que recibes.<u></u><u></u></span></p>
<p><u></u><span style="color:#1f497d"><span>6.<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><span style="color:#1f497d">Evaluar soluciones para tener un “Canal Limpio” u opciones de “Mitigación como Servicio”, hay varios proveedores en el mercado (google it!).<u></u><u></u></span></p>
<p><u></u><span style="color:#1f497d"><span>7.<span style="font:7.0pt "Times New Roman""> </span></span></span><u></u><span style="color:#1f497d">Todo esto puede llevar a una restructuración de tu arquitectura.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">Al mismo tiempo, aplicar medidas puntuales para cerrar brechas abiertas por vulnerabilidades conocidas: parches, hotfixes, otras.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">Apoyarte en el CSIRT de tu región que contacte al CSIRT de Vietnam (VNCERT), y a través de un procedimiento estándar para recopilar información proceda a reportar la dirección IP en cuestión:<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d" lang="EN-US">VNCERT – Viet Nam CERT<u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1f497d" lang="EN-US"><a href="http://www.vncert.gov.vn/" target="_blank">http://www.vncert.gov.vn/</a><u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d">Contacto: <a href="http://www.vncert.gov.vn/lienhe.htm" target="_blank">http://www.vncert.gov.vn/lienhe.htm</a><u></u><u></u></span></p><div><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d">Liberar la dirección IP del blackhole, va a depender de que hayas podido identificar el vector de ataque asociado, contener el presunto ataque y mitigar el impacto o nivel de riesgo asociado a la vulnerabilidad aprovechada; sin embargo, eso no quiere decir que no pueda(n) utilizar otra(s) IP (por ejemplo torificándose) y explotar las debilidades que ya conoce…………. Cierto…!?!?<u></u><u></u></span></p>
<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><span style="color:#1f497d">Atte,<u></u><u></u></span></p><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><b><span style="font-size:9.0pt;color:#1f497d"><img src="cid:image003.gif@01CDD78E.1D2C41E0" alt="Descripción: Logo_NI2" border="0" height="95" width="114"><u></u><u></u></span></b></p><p class="MsoNormal">
<b><span style="font-size:9.0pt;color:#1f497d"><u></u> <u></u></span></b></p><p class="MsoNormal"><b><span style="font-size:9.0pt;color:#595959">Omar Alvarado Pargas</span></b><span style="font-size:9.0pt;color:#595959"><u></u><u></u></span></p>
<p class="MsoNormal"><b><i><span style="font-size:9.0pt;color:#595959">CISO | Gerencia de Ingenieria</span></i></b><span style="font-size:9.0pt;color:#595959"><u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:8.0pt;color:#595959">Tlf: <b>+58 212 999.XXXX</b></span><b><span style="font-size:8.0pt;color:#7f7f7f"> |</span></b><b><span style="font-size:8.0pt;color:#595959"> </span></b><b><span style="font-size:8.0pt;color:#7f7f7f"><u></u><u></u></span></b></p>
<p class="MsoNormal"><b><span style="font-size:2.0pt;color:#7f7f7f"><u></u> <u></u></span></b></p><p class="MsoNormal"><span style="font-size:8.0pt;color:#7f7f7f">Torre Dayco, Calle Londres, Urb. Las Mercedes,<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:8.0pt;color:#7f7f7f">Caracas, Venezuela. ZP 1060-A<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:8.0pt;color:#7f7f7f">Master <b>+58 212 999.XXXX<u></u><u></u></b></span></p>
<p class="MsoNormal"><span style="font-size:2.0pt;color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:8.0pt;color:#595959"><a href="http://www.daycohost.com/" target="_blank"><span style="color:#595959">daycohost.com</span></a><u></u><u></u></span></b></p>
<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><p class="MsoNormal"><b><span style="font-size:8.0pt;color:#7f7f7f">DERECHOS DE USO<u></u><u></u></span></b></p><div style="border-top:solid windowtext 1.0pt;border-left:none;border-bottom:solid windowtext 1.0pt;border-right:none;padding:1.0pt 0cm 1.0pt 0cm">
<p class="MsoNormal" style="border:none;padding:0cm"><span style="font-size:8.0pt;color:#7f7f7f">La presente documentación de carácter privado y confidencial es propiedad de DAYCO Telecom, C.A., y esta dirigido exclusivamente a su(s) destinatario(s), no podrá ser objeto de reproducción total o parcial, ni transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, digital, registro o cualquier otro; tampoco podrá ser distribuido bajo ningún concepto sin el permiso previo y escrito de DAYCO Telecom, C.A. Si usted ha recibido este mensaje por error, debe evitar realizar cualquier acción descrita anteriormente, asimismo le agradecemos comunicarlo al remitente y borrar el mensaje o cualquier documento adjunto. El incumplimiento de las limitaciones señaladas por cualquier persona que tenga acceso a la documentación será sancionada de conformidad al marco jurídico vigente.<u></u><u></u></span></p>
</div></div><p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p><div><div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0cm 0cm 0cm"><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"" lang="ES">De:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"" lang="ES"> <a href="mailto:lacnog-bounces@lacnic.net" target="_blank">lacnog-bounces@lacnic.net</a> [mailto:<a href="mailto:lacnog-bounces@lacnic.net" target="_blank">lacnog-bounces@lacnic.net</a>] <b>En nombre de </b>Francisco Vargas Piedra<br>
<b>Enviado el:</b> martes, 11 de diciembre de 2012 10:46 a.m.<br><b>Para:</b> <a href="mailto:lacnog@lacnic.net" target="_blank">lacnog@lacnic.net</a><br><b>CC:</b> Ricardo Barquero Carranza<br><b>Asunto:</b> [lacnog] Ataque DoS<u></u><u></u></span></p>
</div></div><div class="im"><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><span lang="ES-CR">Buenos días,<u></u><u></u></span></p><p class="MsoNormal"><span lang="ES-CR"><u></u> <u></u></span></p><p class="MsoNormal">
<span lang="ES-CR">Espero que todos se encuentren muy bien. Hemos estado recibiendo un ataque de DoS distribuido proveniente de Vietnam (básicamente de Viettel) y específicamente a una de nuestras direcciones IP ¿alguno ha tenido problemas similares? ¿cómo arrancar estos problemas de raíz? ¿cuál es la mejor solución (conozco soluciones como la de Arbor, pero buscamos un feedback de otras para mejorar nuestros sistemas) para combatir este tipo de ataques?<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="ES-CR"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="ES-CR">Ojalá alguno me pueda dar retroalimentación. Me interesa saber si han tenido problemas similares provenientes de Vietnam.<u></u><u></u></span></p>
<p class="MsoNormal"><span lang="ES-CR"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="ES-CR">Ing. Francisco Vargas Piedra<u></u><u></u></span></p></div><table style="width:340.0pt;margin-left:2.75pt;border-collapse:collapse" border="0" cellpadding="0" cellspacing="0" width="453">
<tbody><tr style="min-height:15.0pt"><td style="width:340.0pt;padding:0cm 3.5pt 0cm 3.5pt;min-height:15.0pt" nowrap valign="bottom" width="453"><p class="MsoNormal"><span><img src="cid:image004.gif@01CDD78E.1D2C41E0" alt="Descripción: Descripción: Descripción: Descripción: http://thinkbeforeprinting.org/struct/signature-1.gif" border="0" height="19" width="392"><span style><u></u><u></u></span></span></p>
</td></tr></tbody></table><p class="MsoNormal"><span lang="ES-CR"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="ES-CR"><u></u> <u></u></span></p><table style="width:340.0pt;margin-left:2.75pt;border-collapse:collapse" border="0" cellpadding="0" cellspacing="0" width="453">
<tbody><tr style="min-height:27.0pt"><td rowspan="5" style="width:126.0pt;padding:0cm 3.5pt 0cm 3.5pt;min-height:27.0pt" nowrap valign="bottom" width="168"><p class="MsoNormal"><span><img src="cid:image005.png@01CDD78E.1D2C41E0" border="0" height="131" width="148"><u></u><u></u></span></p>
</td><td style="width:214.0pt;padding:0cm 3.5pt 0cm 3.5pt;min-height:27.0pt" width="285"><p class="MsoNormal"><b><span style="font-size:22.0pt;font-family:"Arial Rounded MT Bold","sans-serif";color:#1c75bb">Francisco<u></u><u></u></span></b></p>
</td></tr><tr style="min-height:18.0pt"><td style="width:214.0pt;padding:0cm 3.5pt 0cm 3.5pt;min-height:18.0pt" width="285"><p class="MsoNormal"><b><span style="font-size:14.0pt;font-family:"Arial Rounded MT Bold","sans-serif";color:#244062">Vargas Piedra<u></u><u></u></span></b></p>
</td></tr><tr style="min-height:15.0pt"><td style="width:214.0pt;padding:0cm 3.5pt 0cm 3.5pt;min-height:15.0pt" width="285"><p class="MsoNormal"><b><span style="font-family:"Arial","sans-serif";color:#a6a6a6">Ingeniero del Departamento de Datos <u></u><u></u></span></b></p>
</td></tr><tr style="min-height:15.0pt"><td style="width:214.0pt;padding:0cm 3.5pt 0cm 3.5pt;min-height:15.0pt" width="285"><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:#e26b0a">Teléfono directo: (506) 2520-7908<u></u><u></u></span></b></p>
</td></tr><tr style="min-height:17.25pt"><td style="width:214.0pt;padding:0cm 3.5pt 0cm 3.5pt;min-height:17.25pt" width="285"><p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:#e26b0a">Teléfono celular: (506) 8875-1554<u></u><u></u></span></b></p>
</td></tr><tr style="min-height:15.0pt"><td colspan="2" style="width:340.0pt;padding:0cm 3.5pt 0cm 3.5pt;min-height:15.0pt" nowrap valign="bottom" width="453"><p class="MsoNormal" style="text-align:center" align="center">
<span><img src="cid:image004.gif@01CDD78E.1D2C41E0" alt="Descripción: Descripción: Descripción: http://thinkbeforeprinting.org/struct/signature-1.gif" border="0" height="19" width="392"><span style><u></u><u></u></span></span></p>
</td></tr></tbody></table><p class="MsoNormal"><span lang="ES-CR"><u></u> <u></u></span></p><p class="MsoNormal"><span lang="ES-CR"><u></u> <u></u></span></p></div></div><br>_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="mailto:lacnog-unsubscribe@lacnic.net">lacnog-unsubscribe@lacnic.net</a><br>
<br></blockquote></div><br>