Me gustaría si todos pueden contar más o menos como están detectando las fuentes de los ddos<div><br></div><div>Creo que es información de mucho interes para la comunidad. </div><div><br></div><div>S2</div><div><br></div><div>Carlos<br><br><div id="cm_footer"><div id="cm_sent_from">Sent using <a href="https://cloudmagic.com/k/d/mailapp?ct=pi&cv=6.4.2&pv=8.3">CloudMagic</a></div></div><br><div id="cm_replymail_content_wrap"><div class="cm_replymail_content_1450227416_wrapper" style="color: rgb(0, 0, 0);">On Tue, Dec 15, 2015 at 8:41 PM,  Jaime Olmos <jaime@noc.udg.mx> wrote:<br>            <div id="cm_replymail_content_1450227416" style="overflow: visible;"><blockquote style="color: #303B40;">Exacto estimado Tomas, sin mucho dinero y con un poco o mucho de ingenio. En el NOC-UDG a finales del siglo pasado :) y principios de éste, con algunos scripts en Perl (shell interactivos a CLI a través SSH/Telnet) con algo de RRDTool y TCPDump (mirror), detectábamos/mitigábamos abuses en ancho de banda y paquetes por segundo. <br><br>Saludos,<br>JAIME OLMOS<br><br>http://www.ipv6.udg.mx<br><br><br><br><br><br><br><br><br>On 12/15/15, 10:26 AM, "LACNOG on behalf of Tomas Lynch" <lacnog-bounces@lacnic.net on behalf of tomas.lynch@gmail.com> wrote:<br><br>>Cobrar por black hole routing es como que yo les cobre por enviar<br>>correos a esta lista. Definitivamente un DDoS no solamente afecta al<br>>objetivo final sino que además causa problemas en toda la red.<br>><br>>Sobre DDoS, con O'Flaherty desarrollamos, en una galaxia muy lejana,<br>>un sistema Anti DDoS basado en netflow, RRD, perl y un BGP Zebra.<br>>Tenía sus debilidades (el atacado igual se quedaba sin servicio,<br>>claves en texto plano, cof, cof, etc.) pero funcionaba bastante bien y<br>>el resto de la red no se veía afectado siguiendo este algoritmo<br>>simple:<br>><br>>1) Detección de tráfico anormal basado en cantidad de paquetes o ancho<br>>de banda de una IP determinada<br>>2) Desde RRD envío al Zebra de esa IP y comienzo de un contador<br>>3) Zebra envía esa IP con varias comunidades que activan rutas<br>>estáticas a null y las de Black Hole de los proveedores, a distintos<br>>routers de la red<br>>4) Quejas del atacado!!!<br>>5) Finalización del timer en RRD y borrado de comunidades hacia null<br>><br>>Lo sé, no es Arbor, no es SDN, era el comienzo de siglo, apenas yo<br>>sabía configurar Perl, etc. Pero creo que hay cosas que se pueden<br>>hacer sin mucho dinero y con un poco de ingenio y un poco de quejas<br>>del cliente.<br>><br>>Tomás<br>><br>><br>>2015-12-15 10:26 GMT-05:00 Roberto Feijoo <rfeijoo@gigared.com.ar>:<br>>> Este tema lo propuse el año pasado, cuando se habló sobre las lista de Spam,<br>>> ahí comente que este es un tema muy complicado y que se debería tomar alguna<br>>> acción por parte de la comunidad Internet.<br>>> No creo que un ISP solo pueda resolver el problema ya que dichos ataques<br>>> suelen saturar el vínculo del cliente atacado y del proveedor que le da<br>>> servicio al cliente atacado también.<br>>> Por lo tanto la solución pareciera ser un Mix entre el ISP y el Carrier Tier<br>>> 1, y el Carrier  Tier 1 debería contar con la posibilidad de bloquear el<br>>> ataque lo más cercano al origen, para no absorber el tráfico<br>>> innecesariamente.<br>>> Una complicación básica es contar con la posibilidad de detectar e<br>>> identificar la IP atacada para enviar el tráfico malicioso de dicha IP a<br>>> Null, así y todo esto no soluciona la problemática del ISP, ya que debería<br>>> pagar el costo del tráfico malicioso o la posible saturación del vínculo,<br>>> con la problemática que esto trae para todos los clientes.<br>>> Para poder realizar RTBH con el proveedor, deberíamos contar con la IP<br>>> atacada y la posibilidad que el proveedor lo acepte el RTBH, no todos lo<br>>> tienen implementado.<br>>> Consulte varios proveedores de Argentina, los cuales algunos son muy<br>>> costosos y otros no lo tienen como servicio todavía, actualmente estoy<br>>> probando con un proveedor que tiene Arbor.<br>>><br>>> Saludos.<br>>><br>>><br>>><br>>> Roberto G. Feijoó<br>>> Jefe de centro de operaciones de red<br>>> Gigared S.A.<br>>> Donado 840 – C1427CZB<br>>> Ciudad Autónoma de Buenos Aires<br>>> Tel.: (54011)6040.6071<br>>> www.gigared.com.ar<br>>><br>>> -----Mensaje original-----<br>>> De: LACNOG [mailto:lacnog-bounces@lacnic.net] En nombre de Christian<br>>> O'Flaherty<br>>> Enviado el: martes, 15 de diciembre de 2015 11:06 a.m.<br>>> Para: Latin America and Caribbean Region Network Operators Group<br>>> Asunto: Re: [lacnog] Amenaza DDoS<br>>><br>>> Los proveedores no deberían cobrar por el "blackhole routing". Eso no tiene<br>>> ningún costo de implementación y funciona desde hace mucho tiempo a nivel<br>>> global.<br>>><br>>> En algunos casos (NTT por ejemplo) no está habilitado por default:<br>>> https://www.us.ntt.net/support/policy/routing.cfm#blackhole<br>>><br>>> Christian<br>>><br>>><br>>> 2015-12-15 10:58 GMT-03:00 Elizandro Pacheco<br>>> <elizandro@pachecotecnologia.net>:<br>>>> En Brasil la mayoría de las compañías cobran por el bloqueo, algunos<br>>>> simplemente no lo hacen.<br>>>><br>>>> En el asunto de los secuestros de datos que vemos aquí, los pagos son<br>>>> por lo general en bitcoins.<br>>>><br>>>> Atentamente,<br>>>><br>>>> Elizandro Pacheco<br>>>> Pacheco Tecnologia<br>>>><br>>>><br>>>> Em 15 de dez de 2015, à(s) 11:52, Thiago Marinello<br>>>> <thiago@marinello.eng.br><br>>>> escreveu:<br>>>><br>>>> Un tema que siempre ha despertado la curiosidad de mí, tanto en<br>>>> amenazas DDoS cuando en los casos de secuestro de datos es: ¿Qué forma<br>>>> de "pago" que se propone por los delincuentes? Transferencias bancarias<br>>> internacionales?<br>>>> Bitcoins? ¿O qué?<br>>>> __<br>>>>  Thiago Marinello<br>>>>  +55 19 992 480 860<br>>>><br>>>><br>>>> 2015-12-15 13:01 GMT+00:00 Sanchez, Alvaro <asanchez@antel.com.uy>:<br>>>>><br>>>>> Hola Graciela!<br>>>>><br>>>>> Nosotros estamos empezando a utilizarlo. También nos interesa seguir<br>>>>> el tema.<br>>>>><br>>>>> Saludos.<br>>>>><br>>>>><br>>>>><br>>>>> ________________________________<br>>>>><br>>>>> De: LACNOG [mailto:lacnog-bounces@lacnic.net] En nombre de Graciela<br>>>>> Martinez Enviado el: Martes, 15 de Diciembre de 2015 09:53 a.m.<br>>>>> Para: Latin America and Caribbean Region Network Operators Group<br>>>>> Asunto: Re: [lacnog] Amenaza DDoS<br>>>>><br>>>>><br>>>>><br>>>>> Hola. Sé que algunos ISP utilizan Arbor.<br>>>>><br>>>>> A mi me interesa mantenerme al tanto de lo que se pueda intercambiar<br>>>>> con respecto a este tema, por lo que solicito que si se arma una<br>>>>> discusión entre menos personas me integren a la misma.<br>>>>><br>>>>> Muchas gracias.<br>>>>><br>>>>> <image001.gif><br>>>>><br>>>>> Graciela Martínez<br>>>>> Coordinadora de WARP<br>>>>> WARP Coordinator<br>>>>> # 4420<br>>>>><br>>>>> <image002.gif><br>>>>><br>>>>> Casa de Internet de<br>>>>> Latinoamérica y el Caribe<br>>>>> Rambla Rep. de México 6125<br>>>>> 11400 Montevideo-Uruguay<br>>>>> +598 2604 22 22 www.lacnic.net<br>>>>><br>>>>> El 14/12/2015 a las 23:42, Tomas Lynch escribió:<br>>>>><br>>>>> 2015-12-14 15:37 GMT-05:00 Christian O'Flaherty<br>>>>> <christian.oflaherty@gmail.com>:<br>>>>><br>>>>><br>>>>><br>>>>> Estimados,<br>>>>><br>>>>><br>>>>><br>>>>> Alguno ha recibido una amenaza (extorsión) de ataque DDoS en las<br>>>>><br>>>>> últimas semanas?<br>>>>><br>>>>><br>>>>><br>>>>><br>>>>><br>>>>> ¿Se reciben por correo, teléfono? ¿Son en español, inglés? ¿A quiénes<br>>>>><br>>>>> llaman? ¿Han atacado luego de amenazar? Si cuando era admin de red<br>>>>><br>>>>> hubiera recibido esta amenaza, hubiera colgado sin prestarle<br>>>>> atención,<br>>>>><br>>>>> si hoy lo fuera estaría más atento. Estaría bueno que estemos todos<br>>>>><br>>>>> atentos.<br>>>>><br>>>>><br>>>>><br>>>>> Abro un nuevo thread dentro de este, ¿qué se usa hoy para mitigar<br>>>>><br>>>>> estos ataques? Sería bueno también que la gente que está protegida<br>>>>> nos<br>>>>><br>>>>> cuente.<br>>>>><br>>>>><br>>>>><br>>>>> Tomás<br>>>>><br>>>>><br>>>>><br>>>>> Pueden responderme offline si prefieren.<br>>>>><br>>>>><br>>>>><br>>>>> Christian<br>>>>><br>>>>> _______________________________________________<br>>>>><br>>>>> LACNOG mailing list<br>>>>><br>>>>> LACNOG@lacnic.net<br>>>>><br>>>>> https://mail.lacnic.net/mailman/listinfo/lacnog<br>>>>><br>>>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog<br>>>>><br>>>>> _______________________________________________<br>>>>><br>>>>> LACNOG mailing list<br>>>>><br>>>>> LACNOG@lacnic.net<br>>>>><br>>>>> https://mail.lacnic.net/mailman/listinfo/lacnog<br>>>>><br>>>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog<br>>>>><br>>>>><br>>>>><br>>>>><br>>>>> ________________________________<br>>>>><br>>>>> El presente correo y cualquier posible archivo adjunto está dirigido<br>>>>> únicamente al destinatario del mensaje y contiene información que<br>>>>> puede ser confidencial. Si Ud. no es el destinatario correcto por<br>>>>> favor notifique al remitente respondiendo anexando este mensaje y<br>>>>> elimine inmediatamente el e-mail y los posibles archivos adjuntos al<br>>>>> mismo de su sistema. Está prohibida cualquier utilización, difusión o<br>>>>> copia de este e-mail por cualquier persona o entidad que no sean las<br>>>>> específicas destinatarias del mensaje. ANTEL no acepta ninguna<br>>>>> responsabilidad con respecto a cualquier comunicación que haya sido<br>>>>> emitida incumpliendo nuestra Política de Seguridad de la Información<br>>>>><br>>>>><br>>>>> This e-mail and any attachment is confidential and is intended solely<br>>>>> for the addressee(s). If you are not intended recipient please inform<br>>>>> the sender immediately, answering this e-mail and delete it as well<br>>>>> as the attached files. Any use, circulation or copy of this e-mail by<br>>>>> any person or entity that is not the specific addressee(s) is<br>>>>> prohibited. ANTEL is not responsible for any communication emitted<br>>>>> without respecting our Information Security Policy.<br>>>>><br>>>>> _______________________________________________<br>>>>> LACNOG mailing list<br>>>>> LACNOG@lacnic.net<br>>>>> https://mail.lacnic.net/mailman/listinfo/lacnog<br>>>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog<br>>>>><br>>>><br>>>> _______________________________________________<br>>>> LACNOG mailing list<br>>>> LACNOG@lacnic.net<br>>>> https://mail.lacnic.net/mailman/listinfo/lacnog<br>>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog<br>>>><br>>>><br>>>><br>>>> _______________________________________________<br>>>> LACNOG mailing list<br>>>> LACNOG@lacnic.net<br>>>> https://mail.lacnic.net/mailman/listinfo/lacnog<br>>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog<br>>>><br>>> _______________________________________________<br>>> LACNOG mailing list<br>>> LACNOG@lacnic.net<br>>> https://mail.lacnic.net/mailman/listinfo/lacnog<br>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog<br>>><br>>> _______________________________________________<br>>> LACNOG mailing list<br>>> LACNOG@lacnic.net<br>>> https://mail.lacnic.net/mailman/listinfo/lacnog<br>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog<br>>_______________________________________________<br>>LACNOG mailing list<br>>LACNOG@lacnic.net<br>>https://mail.lacnic.net/mailman/listinfo/lacnog<br>>Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog<br><br>_______________________________________________<br>LACNOG mailing list<br>LACNOG@lacnic.net<br>https://mail.lacnic.net/mailman/listinfo/lacnog<br>Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog<br></blockquote></div></div>            </div>            </div>