[LACNIC/Seguridad] [lacnog] Ataques DDoS basados en 'Chargen' ?
Iván Arce
ivan.w.arce en gmail.com
Lun Sep 2 15:17:57 BRT 2013
Hola Carlos,
Es articulo de Sans es de abril de este año, el tema se discutió en la
lista de mail de Nanog en junio (http://seclists.org/nanog/2013/Jun/259).
Aparentemente la mayoría de los dispositivos que reflejan el tráfico son
impresoras que vienen con el servicio habilitado por defecto, aunque no
descartaría alguna marca/modelo de router ADSL específico o algun otro
dispositivo, p.e. cámaras de vigilancia.
Encontraste algun patrón de ese tipo en lista de IPs ?
saludos,
-ivan
On 9/2/13 2:46 PM, Carlos M. Martinez wrote:
> Me han pasado datos de servidores chargen de la región de LACNIC que
> habrían estado involucrados.
>
> Los top 20 ASNs de nuestra región involucrados en este ataque son:
>
> count| asn | cc | registry
> 667|11888 | MX | lacnic
> 530|6503 | MX | lacnic
> 476|28573 | BR | lacnic
> 370|26599 | BR | lacnic
> 322|8151 | MX | lacnic
> 314|27699 | BR | lacnic
> 288|11172 | MX | lacnic
> 241|7738 | BR | lacnic
> 233|4230 | BR | lacnic
> 216|18881 | BR | lacnic
> 179|7465 | BR | lacnic
> 171|10429 | BR | lacnic
> 158|26596 | CO | lacnic
> 140|8048 | VE | lacnic
> 107|13878 | BR | lacnic
> 100|26615 | BR | lacnic
> 93|22085 | BR | lacnic
> 78|10620 | CO | lacnic
> 75|13489 | CO | lacnic
> 74|262352 | BR | lacnic
>
> Tengo los datos de las IPs individuales, se los puedo pasar, pero me
> tienen que convencer de que son (a) contacto del ORG-ID asociado al ASN,
> o (b) un CSIRT / CERT activo en el país en cuestión y con
> responsabilidad de coordinación. Para ello por favor me escriben *por
> correo privado*
>
> s2
>
> ~Carlos
>
> On 9/2/13 11:40 AM, Luar Roji wrote:
>> Yo lo uso diariamente, al igual que gopher, finger y talk! :P
>>
>>
>> 2013/9/2 Carlos M. Martinez <carlosm3011 en gmail.com
>> <mailto:carlosm3011 en gmail.com>>
>>
>> https://isc.sans.edu/diary/15647
>>
>> Y yo que pensé que chargen era algo que habíamos deshabilitado todos
>> circa 1999 :-)
>>
>> s2
>>
>> ~Carlos
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>> <mailto:lacnog-unsubscribe en lacnic.net>
>>
>>
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: lacnog-unsubscribe en lacnic.net
>>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
Más información sobre la lista de distribución Seguridad