[LACNIC/Seguridad] [lacnog] DDoS, ataques de amplificacion y BCP38
Arruda, Julio
jarruda en arbor.net
Mie Mar 27 20:21:11 BRT 2013
Such DNSSEC 'amplified' attacks have been seen in Latin America for at
least a couple of years, from what I recall.
Julio Arruda
Manager Consulting Engineer Team LATAM
Arbor Networks
www.arbornetworks.com
How networks grow
On 3/27/13 6:40 PM, "Iván Arce" <ivan.w.arce en gmail.com> wrote:
>Un comentario adicional a mi mensaje anterior porque ya anticipo alguna
>respuesta...
>
>DNSSEC no soluciona el problema de amplificacion de tráfico con
>openresolvers, de hecho lo incrementa. Esto es lo que Dan J Bernstein
>tenia para decir al respecto en 2010
>
>http://cr.yp.to/talks/2010.12.28/slides.pdf
>
>
>-ivan
>
>
>On 3/27/13 5:36 PM, Arturo Servin wrote:
>>
>> Con eso es suficiente.
>>
>> Considerando que hay varios millones de openresolvers y con una tasa de
>> 1 a 10 en amplificacion ...
>>
>> http://openresolverproject.org/
>>
>> Slds
>> as
>>
>>
>> On 3/27/13 5:31 PM, Nicolás Ruiz wrote:
>>> Disculpen mi ignorancia, pero cual es el argumento para evitar los
>>> open resolvers (de primeras, lo único que se me ocurre es el abuso
>>> para amplificación de DNS queries)?
>>>
>>> nicolas
>>>
>>> On Wed, Mar 27, 2013 at 3:27 PM, Carlos M. Martinez
>>> <carlosmarcelomartinez en gmail.com> wrote:
>>>> El tema de los open resolvers es increible... como algo tan facil de
>>>> corregir es completamente ignorado por la gente.
>>>>
>>>> ¿Que nos pasa?
>>>>
>>>> s2
>>>>
>>>> ~C.
>>>>
>>>> On 3/27/13 5:23 PM, Hugo Salgado wrote:
>>>>> Además, cerrar los DNS recursivos solo a los clientes; y aplicar
>>>>> RRL a los autoritativos.
>>>>>
>>>>> Saludos,
>>>>>
>>>>> Hugo
>>>>>
>>>>> On 03/27/2013 05:16 PM, Arturo Servin wrote:
>>>>>> Hay una discusion interesante sobre DDoS, ataques de
>>>>>>amplificacion y
>>>>>> BCP38 en la lista de nanog.
>>>>>>
>>>>>> De ahi este par de articulos (sobre DDoS de mas de 100 Gbps)
>>>>>>que nos
>>>>>> dice lo importante de aplicar el BCP38 a nuestras redes:
>>>>>>
>>>>>> New York Times
>>>>>>
>>>>>>http://www.nytimes.com/2013/03/27/technology/internet/online-dispute-
>>>>>>becomes-internet-snarling-attack.html
>>>>>>
>>>>>> http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet
>>>>>>
>>>>>>
>>>>>> Espero que en estas listas la mayoria se asegure que el
>>>>>>trafico que
>>>>>> sale de sus redes y de sus clientes no sea de direcciones de IP
>>>>>>"spoofeadas"
>>>>>>
>>>>>> Extracto del articulo del NY Times:
>>>>>>
>>>>>> "The heart of the problem, according to several Internet engineers,
>>>>>>is
>>>>>> that many large Internet service providers have not set up their
>>>>>> networks to make sure that traffic leaving their networks is
>>>>>>actually
>>>>>> coming from their own users. The potential security flaw has long
>>>>>>been
>>>>>> known by Internet security specialists, but it has only recently
>>>>>>been
>>>>>> exploited in a way that threatens the Internet infrastructure."
>>>>>>
>>>>>> Slds
>>>>>> as
>>
>_______________________________________________
>Seguridad mailing list
>Seguridad en lacnic.net
>https://mail.lacnic.net/mailman/listinfo/seguridad
Más información sobre la lista de distribución Seguridad