<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Al igual que mi estimado Nicolás; pero para los que contamos con tecnologías como sflow en nuestros equipos, se pueden descargar el colector, de software libre, <span style="background-color: rgba(255, 255, 255, 0);">sFlow-RT. Esta herramienta tiene una interfaz amigable para visualizar flujos, además de ser programable, debido a que cuenta</span><span style="background-color: rgba(255, 255, 255, 0);"> con APIs (open northbound) de desarrollo para obtener, filtrar y establecer umbrales de los flujos de tráfico que nos interese mitigar de manera dinámica. </span></div><div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div><span style="background-color: rgba(255, 255, 255, 0);">Ahora que si se cuenta con personal entusiasta, rudo e innovador :). Se pueden codificar aplicaciones en SDN, nosotros estamos desarrollando aplicaciones ligeras a través de Python, sFlow-RT y OpenFlow 1.3 para tirar, redireccionar o dar calidad de servicio (</span><span style="font-weight: bold; background-color: rgba(255, 255, 255, 0);">traffic shaping</span><span style="background-color: rgba(255, 255, 255, 0);">) al tráfico anómalo que pasa por switches y/o enrutadores mediante una controladora ODL, a partir de eventos detectados por el colector de sFlow.</span></div><br><div>Saludos,<div>Jaime Olmos</div><div><a href="http://www.ipv6.udg.mx">http://www.ipv6.udg.mx</a></div></div></div><div><br>On Dec 15, 2015, at 10:42 PM, Nicolas Antoniello <<a href="mailto:nantoniello@gmail.com">nantoniello@gmail.com</a>> wrote:<br><br></div><blockquote type="cite"><div><div style="white-space:pre-wrap">Una forma medio rústica pero bastante efectiva cuando las papas queman es tirar el comando en el router (varia de fabricante en fabricante) para listar los flujos con mayor trafico (puede que haya que activar un debug o estadísticas a nivel de flujos) y ver allí si hay una fuente identificable (se lleva la gran mayoría de los flujos) o si son varias fuentes, en cuyo caso es DDoS... Luego, mirando las IP origen sabemos si es de fuera o dentro del ASN nuestro... Si se tiene netflow activado y el router aguanta el guascazo, se puede ver en el colector de flow también.<br><br>Saludos,<br>Nico<br></div><br><div class="gmail_quote"><div dir="ltr">El El mar, 15 de dic. de 2015 a las 22:18, Carlos M. Martinez <<a href="mailto:cmm@cagnazzo.me">cmm@cagnazzo.me</a>> escribió:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Me gustaría si todos pueden contar más o menos como están detectando las fuentes de los ddos<div><br></div><div>Creo que es información de mucho interes para la comunidad. </div><div><br></div><div>S2</div><div><br></div><div>Carlos<br><br><div><div>Sent using <a href="https://cloudmagic.com/k/d/mailapp?ct=pi&cv=6.4.2&pv=8.3" target="_blank">CloudMagic</a></div></div></div><div><br><div><div style="color:rgb(0,0,0)">On Tue, Dec 15, 2015 at 8:41 PM, Jaime Olmos <<a href="mailto:jaime@noc.udg.mx" target="_blank">jaime@noc.udg.mx</a>> wrote:<br> <div style="overflow:visible"><blockquote style="color:#303b40">Exacto estimado Tomas, sin mucho dinero y con un poco o mucho de ingenio. En el NOC-UDG a finales del siglo pasado :) y principios de éste, con algunos scripts en Perl (shell interactivos a CLI a través SSH/Telnet) con algo de RRDTool y TCPDump (mirror), detectábamos/mitigábamos abuses en ancho de banda y paquetes por segundo. <br><br>Saludos,<br>JAIME OLMOS<br><br><a href="http://www.ipv6.udg.mx" target="_blank">http://www.ipv6.udg.mx</a><br><br><br><br><br><br><br><br><br>On 12/15/15, 10:26 AM, "LACNOG on behalf of Tomas Lynch" <<a href="mailto:lacnog-bounces@lacnic.net" target="_blank">lacnog-bounces@lacnic.net</a> on behalf of <a href="mailto:tomas.lynch@gmail.com" target="_blank">tomas.lynch@gmail.com</a>> wrote:<br><br>>Cobrar por black hole routing es como que yo les cobre por enviar<br>>correos a esta lista. Definitivamente un DDoS no solamente afecta al<br>>objetivo final sino que además causa problemas en toda la red.<br>><br>>Sobre DDoS, con O'Flaherty desarrollamos, en una galaxia muy lejana,<br>>un sistema Anti DDoS basado en netflow, RRD, perl y un BGP Zebra.<br>>Tenía sus debilidades (el atacado igual se quedaba sin servicio,<br>>claves en texto plano, cof, cof, etc.) pero funcionaba bastante bien y<br>>el resto de la red no se veía afectado siguiendo este algoritmo<br>>simple:<br>><br>>1) Detección de tráfico anormal basado en cantidad de paquetes o ancho<br>>de banda de una IP determinada<br>>2) Desde RRD envío al Zebra de esa IP y comienzo de un contador<br>>3) Zebra envía esa IP con varias comunidades que activan rutas<br>>estáticas a null y las de Black Hole de los proveedores, a distintos<br>>routers de la red<br>>4) Quejas del atacado!!!<br>>5) Finalización del timer en RRD y borrado de comunidades hacia null<br>><br>>Lo sé, no es Arbor, no es SDN, era el comienzo de siglo, apenas yo<br>>sabía configurar Perl, etc. Pero creo que hay cosas que se pueden<br>>hacer sin mucho dinero y con un poco de ingenio y un poco de quejas<br>>del cliente.<br>><br>>Tomás<br>><br>><br>>2015-12-15 10:26 GMT-05:00 Roberto Feijoo <<a href="mailto:rfeijoo@gigared.com.ar" target="_blank">rfeijoo@gigared.com.ar</a>>:<br>>> Este tema lo propuse el año pasado, cuando se habló sobre las lista de Spam,<br>>> ahí comente que este es un tema muy complicado y que se debería tomar alguna<br>>> acción por parte de la comunidad Internet.<br>>> No creo que un ISP solo pueda resolver el problema ya que dichos ataques<br>>> suelen saturar el vínculo del cliente atacado y del proveedor que le da<br>>> servicio al cliente atacado también.<br>>> Por lo tanto la solución pareciera ser un Mix entre el ISP y el Carrier Tier<br>>> 1, y el Carrier Tier 1 debería contar con la posibilidad de bloquear el<br>>> ataque lo más cercano al origen, para no absorber el tráfico<br>>> innecesariamente.<br>>> Una complicación básica es contar con la posibilidad de detectar e<br>>> identificar la IP atacada para enviar el tráfico malicioso de dicha IP a<br>>> Null, así y todo esto no soluciona la problemática del ISP, ya que debería<br>>> pagar el costo del tráfico malicioso o la posible saturación del vínculo,<br>>> con la problemática que esto trae para todos los clientes.<br>>> Para poder realizar RTBH con el proveedor, deberíamos contar con la IP<br>>> atacada y la posibilidad que el proveedor lo acepte el RTBH, no todos lo<br>>> tienen implementado.<br>>> Consulte varios proveedores de Argentina, los cuales algunos son muy<br>>> costosos y otros no lo tienen como servicio todavía, actualmente estoy<br>>> probando con un proveedor que tiene Arbor.<br>>><br>>> Saludos.<br>>><br>>><br>>><br>>> Roberto G. Feijoó<br>>> Jefe de centro de operaciones de red<br>>> Gigared S.A.<br>>> Donado 840 – C1427CZB<br>>> Ciudad Autónoma de Buenos Aires<br>>> Tel.: (54011)6040.6071<br>>> <a href="http://www.gigared.com.ar" target="_blank">www.gigared.com.ar</a><br>>><br>>> -----Mensaje original-----<br>>> De: LACNOG [mailto:<a href="mailto:lacnog-bounces@lacnic.net" target="_blank">lacnog-bounces@lacnic.net</a>] En nombre de Christian<br>>> O'Flaherty<br>>> Enviado el: martes, 15 de diciembre de 2015 11:06 a.m.<br>>> Para: Latin America and Caribbean Region Network Operators Group<br>>> Asunto: Re: [lacnog] Amenaza DDoS<br>>><br>>> Los proveedores no deberían cobrar por el "blackhole routing". Eso no tiene<br>>> ningún costo de implementación y funciona desde hace mucho tiempo a nivel<br>>> global.<br>>><br>>> En algunos casos (NTT por ejemplo) no está habilitado por default:<br>>> <a href="https://www.us.ntt.net/support/policy/routing.cfm#blackhole" target="_blank">https://www.us.ntt.net/support/policy/routing.cfm#blackhole</a><br>>><br>>> Christian<br>>><br>>><br>>> 2015-12-15 10:58 GMT-03:00 Elizandro Pacheco<br>>> <<a href="mailto:elizandro@pachecotecnologia.net" target="_blank">elizandro@pachecotecnologia.net</a>>:<br>>>> En Brasil la mayoría de las compañías cobran por el bloqueo, algunos<br>>>> simplemente no lo hacen.<br>>>><br>>>> En el asunto de los secuestros de datos que vemos aquí, los pagos son<br>>>> por lo general en bitcoins.<br>>>><br>>>> Atentamente,<br>>>><br>>>> Elizandro Pacheco<br>>>> Pacheco Tecnologia<br>>>><br>>>><br>>>> Em 15 de dez de 2015, à(s) 11:52, Thiago Marinello<br>>>> <<a href="mailto:thiago@marinello.eng.br" target="_blank">thiago@marinello.eng.br</a>><br>>>> escreveu:<br>>>><br>>>> Un tema que siempre ha despertado la curiosidad de mí, tanto en<br>>>> amenazas DDoS cuando en los casos de secuestro de datos es: ¿Qué forma<br>>>> de "pago" que se propone por los delincuentes? Transferencias bancarias<br>>> internacionales?<br>>>> Bitcoins? ¿O qué?<br>>>> __<br>>>> Thiago Marinello<br>>>> +55 19 992 480 860<br>>>><br>>>><br>>>> 2015-12-15 13:01 GMT+00:00 Sanchez, Alvaro <<a href="mailto:asanchez@antel.com.uy" target="_blank">asanchez@antel.com.uy</a>>:<br>>>>><br>>>>> Hola Graciela!<br>>>>><br>>>>> Nosotros estamos empezando a utilizarlo. También nos interesa seguir<br>>>>> el tema.<br>>>>><br>>>>> Saludos.<br>>>>><br>>>>><br>>>>><br>>>>> ________________________________<br>>>>><br>>>>> De: LACNOG [mailto:<a href="mailto:lacnog-bounces@lacnic.net" target="_blank">lacnog-bounces@lacnic.net</a>] En nombre de Graciela<br>>>>> Martinez Enviado el: Martes, 15 de Diciembre de 2015 09:53 a.m.<br>>>>> Para: Latin America and Caribbean Region Network Operators Group<br>>>>> Asunto: Re: [lacnog] Amenaza DDoS<br>>>>><br>>>>><br>>>>><br>>>>> Hola. Sé que algunos ISP utilizan Arbor.<br>>>>><br>>>>> A mi me interesa mantenerme al tanto de lo que se pueda intercambiar<br>>>>> con respecto a este tema, por lo que solicito que si se arma una<br>>>>> discusión entre menos personas me integren a la misma.<br>>>>><br>>>>> Muchas gracias.<br>>>>><br>>>>> <image001.gif><br>>>>><br>>>>> Graciela Martínez<br>>>>> Coordinadora de WARP<br>>>>> WARP Coordinator<br>>>>> # 4420<br>>>>><br>>>>> <image002.gif><br>>>>><br>>>>> Casa de Internet de<br>>>>> Latinoamérica y el Caribe<br>>>>> Rambla Rep. de México 6125<br>>>>> 11400 Montevideo-Uruguay<br>>>>> +598 2604 22 22 <a href="http://www.lacnic.net" target="_blank">www.lacnic.net</a><br>>>>><br>>>>> El 14/12/2015 a las 23:42, Tomas Lynch escribió:<br>>>>><br>>>>> 2015-12-14 15:37 GMT-05:00 Christian O'Flaherty<br>>>>> <<a href="mailto:christian.oflaherty@gmail.com" target="_blank">christian.oflaherty@gmail.com</a>>:<br>>>>><br>>>>><br>>>>><br>>>>> Estimados,<br>>>>><br>>>>><br>>>>><br>>>>> Alguno ha recibido una amenaza (extorsión) de ataque DDoS en las<br>>>>><br>>>>> últimas semanas?<br>>>>><br>>>>><br>>>>><br>>>>><br>>>>><br>>>>> ¿Se reciben por correo, teléfono? ¿Son en español, inglés? ¿A quiénes<br>>>>><br>>>>> llaman? ¿Han atacado luego de amenazar? Si cuando era admin de red<br>>>>><br>>>>> hubiera recibido esta amenaza, hubiera colgado sin prestarle<br>>>>> atención,<br>>>>><br>>>>> si hoy lo fuera estaría más atento. Estaría bueno que estemos todos<br>>>>><br>>>>> atentos.<br>>>>><br>>>>><br>>>>><br>>>>> Abro un nuevo thread dentro de este, ¿qué se usa hoy para mitigar<br>>>>><br>>>>> estos ataques? Sería bueno también que la gente que está protegida<br>>>>> nos<br>>>>><br>>>>> cuente.<br>>>>><br>>>>><br>>>>><br>>>>> Tomás<br>>>>><br>>>>><br>>>>><br>>>>> Pueden responderme offline si prefieren.<br>>>>><br>>>>><br>>>>><br>>>>> Christian<br>>>>><br>>>>> _______________________________________________<br>>>>><br>>>>> LACNOG mailing list<br>>>>><br>>>>> <a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>>>>><br>>>>> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>>>>><br>>>>> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>>>>><br>>>>> _______________________________________________<br>>>>><br>>>>> LACNOG mailing list<br>>>>><br>>>>> <a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>>>>><br>>>>> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>>>>><br>>>>> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>>>>><br>>>>><br>>>>><br>>>>><br>>>>> ________________________________<br>>>>><br>>>>> El presente correo y cualquier posible archivo adjunto está dirigido<br>>>>> únicamente al destinatario del mensaje y contiene información que<br>>>>> puede ser confidencial. Si Ud. no es el destinatario correcto por<br>>>>> favor notifique al remitente respondiendo anexando este mensaje y<br>>>>> elimine inmediatamente el e-mail y los posibles archivos adjuntos al<br>>>>> mismo de su sistema. Está prohibida cualquier utilización, difusión o<br>>>>> copia de este e-mail por cualquier persona o entidad que no sean las<br>>>>> específicas destinatarias del mensaje. ANTEL no acepta ninguna<br>>>>> responsabilidad con respecto a cualquier comunicación que haya sido<br>>>>> emitida incumpliendo nuestra Política de Seguridad de la Información<br>>>>><br>>>>><br>>>>> This e-mail and any attachment is confidential and is intended solely<br>>>>> for the addressee(s). If you are not intended recipient please inform<br>>>>> the sender immediately, answering this e-mail and delete it as well<br>>>>> as the attached files. Any use, circulation or copy of this e-mail by<br>>>>> any person or entity that is not the specific addressee(s) is<br>>>>> prohibited. ANTEL is not responsible for any communication emitted<br>>>>> without respecting our Information Security Policy.<br>>>>><br>>>>> _______________________________________________<br>>>>> LACNOG mailing list<br>>>>> <a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>>>>> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>>>>> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>>>>><br>>>><br>>>> _______________________________________________<br>>>> LACNOG mailing list<br>>>> <a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>>>> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>>>> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>>>><br>>>><br>>>><br>>>> _______________________________________________<br>>>> LACNOG mailing list<br>>>> <a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>>>> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>>>> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>>>><br>>> _______________________________________________<br>>> LACNOG mailing list<br>>> <a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>>> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>>> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>>><br>>> _______________________________________________<br>>> LACNOG mailing list<br>>> <a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>>> <a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>>> Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>>_______________________________________________<br>>LACNOG mailing list<br>><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br><br>_______________________________________________<br>LACNOG mailing list<br><a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br></blockquote></div></div> </div> </div>_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>LACNOG mailing list</span><br><span><a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a></span><br><span><a href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a></span><br><span>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a></span><br></div></blockquote></body></html>