[LACNIC/Seguridad] [lacnog] DDoS, ataques de amplificacion y BCP38
Iván Arce
ivan.w.arce en gmail.com
Mie Mar 27 19:15:43 BRT 2013
Me parece que uno de los principales motivos por los cuales no se le da
la importancia que merece tanto a BCP38 como a la proliferación open
resolvers es que en los ámbitos de internetworking y de operaciones de
red se considera que el proposito de ambas cosas solo es evitar ataques
de denegacion de servicio.
Implementar mecanismos para prevenir spoofing de la dirección de origen
(BCP38) y para evitar que un resolver resuelva pedidos de resolucion de
nombre dominio recibidos de terceros anonimos atiende a otro tipo de
ataques que son mas complejos y posiblemente mas dañinos que simplemente
DoS o DDoS.
En el caso de BCP38, evitar spoofing de la direccion de origen previene
o hace mas dificil, entre otros, ataques de inserción de datos en
sesiones TCP. Por ejemplo: http://pdos.csail.mit.edu/~rtm/papers/117.pdf
Ver además http://tools.ietf.org/html/rfc6528
Por otro lado, mas allá de problemas de amplificación de trafico, un
open resolver es un candidato ideal para formar parte de un ataque de
evenenamiento del cache de DNS
Aqui un ejemplo de un ataque práctico que se publico en 1997, desde
entonces hasta hoy se han publicado multiples variaciones y mejoras a
este tipo de ataques.
http://www.openbsd.org/advisories/res_random.txt
En retrospectiva, creo que haber titulado BCP38 como "Defeating Denial
of Service Attacks which employ IP Source Address Spoofing" fue en
detrimento de su adopción.
-ivan
On 3/27/13 5:36 PM, Arturo Servin wrote:
>
> Con eso es suficiente.
>
> Considerando que hay varios millones de openresolvers y con una tasa de
> 1 a 10 en amplificacion ...
>
> http://openresolverproject.org/
>
> Slds
> as
>
>
> On 3/27/13 5:31 PM, Nicolás Ruiz wrote:
>> Disculpen mi ignorancia, pero cual es el argumento para evitar los
>> open resolvers (de primeras, lo único que se me ocurre es el abuso
>> para amplificación de DNS queries)?
>>
>> nicolas
>>
>> On Wed, Mar 27, 2013 at 3:27 PM, Carlos M. Martinez
>> <carlosmarcelomartinez en gmail.com> wrote:
>>> El tema de los open resolvers es increible... como algo tan facil de
>>> corregir es completamente ignorado por la gente.
>>>
>>> ¿Que nos pasa?
>>>
>>> s2
>>>
>>> ~C.
>>>
>>> On 3/27/13 5:23 PM, Hugo Salgado wrote:
>>>> Además, cerrar los DNS recursivos solo a los clientes; y aplicar
>>>> RRL a los autoritativos.
>>>>
>>>> Saludos,
>>>>
>>>> Hugo
>>>>
>>>> On 03/27/2013 05:16 PM, Arturo Servin wrote:
>>>>> Hay una discusion interesante sobre DDoS, ataques de amplificacion y
>>>>> BCP38 en la lista de nanog.
>>>>>
>>>>> De ahi este par de articulos (sobre DDoS de mas de 100 Gbps) que nos
>>>>> dice lo importante de aplicar el BCP38 a nuestras redes:
>>>>>
>>>>> New York Times
>>>>> http://www.nytimes.com/2013/03/27/technology/internet/online-dispute-becomes-internet-snarling-attack.html
>>>>>
>>>>> http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet
>>>>>
>>>>>
>>>>> Espero que en estas listas la mayoria se asegure que el trafico que
>>>>> sale de sus redes y de sus clientes no sea de direcciones de IP "spoofeadas"
>>>>>
>>>>> Extracto del articulo del NY Times:
>>>>>
>>>>> "The heart of the problem, according to several Internet engineers, is
>>>>> that many large Internet service providers have not set up their
>>>>> networks to make sure that traffic leaving their networks is actually
>>>>> coming from their own users. The potential security flaw has long been
>>>>> known by Internet security specialists, but it has only recently been
>>>>> exploited in a way that threatens the Internet infrastructure."
>>>>>
>>>>> Slds
>>>>> as
>>>>> _______________________________________________
>>>>> LACNOG mailing list
>>>>> LACNOG en lacnic.net
>>>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>>>>
>>>> _______________________________________________
>>>> LACNOG mailing list
>>>> LACNOG en lacnic.net
>>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>
>>
>>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
Más información sobre la lista de distribución Seguridad