[LACNIC/Seguridad] [lacnog] DDoS, ataques de amplificacion y BCP38

Iván Arce ivan.w.arce en gmail.com
Mie Mar 27 19:40:04 BRT 2013 

Un comentario adicional a mi mensaje anterior porque ya anticipo alguna
respuesta...

DNSSEC no soluciona el problema de amplificacion de tráfico con
openresolvers, de hecho lo incrementa. Esto es lo que Dan J Bernstein
tenia para decir al respecto en 2010

http://cr.yp.to/talks/2010.12.28/slides.pdf


-ivan


On 3/27/13 5:36 PM, Arturo Servin wrote:
> 
> 	Con eso es suficiente.
> 
> 	Considerando que hay varios millones de openresolvers y con una tasa de
> 1 a 10 en amplificacion ...
> 
> http://openresolverproject.org/
> 
> Slds
> as
> 
> 
> On 3/27/13 5:31 PM, Nicolás Ruiz wrote:
>> Disculpen mi ignorancia, pero cual es el argumento para evitar los
>> open resolvers (de primeras, lo único que se me ocurre es el abuso
>> para amplificación de DNS queries)?
>>
>> nicolas
>>
>> On Wed, Mar 27, 2013 at 3:27 PM, Carlos M. Martinez
>> <carlosmarcelomartinez en gmail.com> wrote:
>>> El tema de los open resolvers es increible... como algo tan facil de
>>> corregir es completamente ignorado por la gente.
>>>
>>> ¿Que nos pasa?
>>>
>>> s2
>>>
>>> ~C.
>>>
>>> On 3/27/13 5:23 PM, Hugo Salgado wrote:
>>>> Además, cerrar los DNS recursivos solo a los clientes; y aplicar
>>>> RRL a los autoritativos.
>>>>
>>>> Saludos,
>>>>
>>>> Hugo
>>>>
>>>> On 03/27/2013 05:16 PM, Arturo Servin wrote:
>>>>>      Hay una discusion interesante sobre DDoS, ataques de amplificacion y
>>>>> BCP38 en la lista de nanog.
>>>>>
>>>>>      De ahi este par de articulos (sobre DDoS de mas de 100 Gbps) que nos
>>>>> dice lo importante de aplicar el BCP38 a nuestras redes:
>>>>>
>>>>> New York Times
>>>>> http://www.nytimes.com/2013/03/27/technology/internet/online-dispute-becomes-internet-snarling-attack.html
>>>>>
>>>>> http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet
>>>>>
>>>>>
>>>>>      Espero que en estas listas la mayoria se asegure que el trafico que
>>>>> sale de sus redes y de sus clientes no sea de direcciones de IP "spoofeadas"
>>>>>
>>>>> Extracto del articulo del NY Times:
>>>>>
>>>>> "The heart of the problem, according to several Internet engineers, is
>>>>> that many large Internet service providers have not set up their
>>>>> networks to make sure that traffic leaving their networks is actually
>>>>> coming from their own users. The potential security flaw has long been
>>>>> known by Internet security specialists, but it has only recently been
>>>>> exploited in a way that threatens the Internet infrastructure."
>>>>>
>>>>> Slds
>>>>> as
>

Más información sobre la lista de distribución Seguridad