[Lista ArNOG] Como mitigar ataque DDoS en un ISP.
Luciano Raffaldi
lraffaldi en redregionalsa.com.ar
Mie Dic 6 15:16:53 ART 2017
Estimados, hemos estado sufriendo algunos ataques DDoS desde los puertos 23,
2323, 53, 17 y otros UDPs distribuidos desde miles de IPs hacia alguna IP
nuestra (algunas que incluso no estaban asignadas). Esto nos ha provocado
saturaciones en los proveedores al punto de hacer caer el peer de algunos, y
pudimos observar hasta casi 1Gbps entrante de este tráfico basura.
Como mitigarlo? Bloquear el tráfico en el RB hacia la IP atacada no sirve de
mucho (al menos que tengamos mucho AB de sobra para poder tirar al tacho
1Gbps) ya que es todo tráfico no orientado a la conexión y por más que sea
descartado sigue llegando. A raíz de esto vemos dos formas posibles de
hacerlo:
1- Despublicar la red
2- Publicar con comunidad blackhole la IP atacada
3- Servicios de mitigación de los Tránsitos (Carisimo)
Ahora bien, surgen algunas cuestiones:
1- Como detectar un ataque? Debemos dejar a uno o varios clientes sin
servicio
2- Por cuanto tiempo despublicamos la red? O publicamos blackhole si el
proveedor lo tiene implementado.
Es interesante ver que lo relativamente fácil que es hacer una ataque de
este tipo, o contratarlo mejor dicho por algunos centavos de bitcoins, y el
daño que puede causar en un pequeño ISP.
Me gustaría saber si a ustedes les ha sucedido y como lo han mitigado.
Saludos!
Luciano Martín Raffaldi
Responsable de Operaciones y Mantenimiento
<mailto:lraffaldi en redregionalsa.com.ar> lraffaldi en redregionalsa.com.ar
tel: +54 03401 422169 int 508
cel: +54 03401 15514415
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20171206/91fcdc36/attachment.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.png
Type: image/png
Size: 8686 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20171206/91fcdc36/attachment.png>
Más información sobre la lista de distribución Lista