[Lista ArNOG] Como mitigar ataque DDoS en un ISP.

Nicolás Macia nmacia en cert.unlp.edu.ar
Jue Feb 1 14:51:10 ART 2018 

El año pasado en el Arnog que se hizo en capital federal, desde la
Universidad Nacional de La Plata mostramos una plataforma de scrubbing
center desarrollada por nosotros, la cual puede ser utilizada para
mitigar este tipo de problemas.

Mi idea era poder socializar los costos de infraestructura necesarios
(VMs en la nube con peering BGP) para llegar a montar una solución de
este tipo en  beneficio de todos.

Calculo que por aquella época los problemas de este tipo no eran
significativos y la idea no prosperó, pero estaría bueno llegar a
retomarla en algún momento.

Paso la presentación y el video de la demo que usamos en Lacnic de Foz:
https://archivos.linti.unlp.edu.ar/index.php/s/ibYIWkZPDAkLvpD


Saludos

Nicolás


El 06/12/17 a las 17:31, Luciano Raffaldi escribió:
>
> Hola Hernan, algunos si otros me ofrecen una solución de mitigación
> ddos un tanto excedida de precio.
>
>  
>
> Saludos!
>
>  
>
> *De:*lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar]
> *En nombre de *Hernan Nicolau
> *Enviado el:* miércoles, 6 de diciembre de 2017 15:45
> *Para:* lista en arnog.com.ar
> *Asunto:* Re: [Lista ArNOG] Como mitigar ataque DDoS en un ISP.
>
>  
>
> Hola Luciano, tu mayorista te da posibilidad de mandar a blackhole?
>
>  
>
> El 06/12/2017 a las 03:16 p.m., Luciano Raffaldi escribió:
>
>     Estimados, hemos estado sufriendo algunos ataques DDoS desde los
>     puertos 23, 2323, 53, 17 y otros UDPs distribuidos desde miles de
>     IPs hacia alguna IP nuestra (algunas que incluso no estaban
>     asignadas). Esto nos ha provocado saturaciones en los proveedores
>     al punto de hacer caer el peer de algunos, y pudimos observar
>     hasta casi 1Gbps entrante de este tráfico basura.
>
>      
>
>     Como mitigarlo? Bloquear el tráfico en el RB hacia la IP atacada
>     no sirve de mucho (al menos que tengamos mucho AB de sobra para
>     poder tirar al tacho 1Gbps) ya que es todo tráfico no orientado a
>     la conexión y por más que sea descartado sigue llegando. A raíz de
>     esto vemos dos formas posibles de hacerlo:
>
>      
>
>     1-      Despublicar la red
>
>     2-      Publicar con comunidad blackhole la IP atacada
>
>     3-      Servicios de mitigación de los Tránsitos (Carisimo)
>
>      
>
>     Ahora bien, surgen algunas cuestiones:
>
>     1-      Como detectar un ataque? Debemos dejar a uno o varios
>     clientes sin servicio
>
>     2-      Por cuanto tiempo despublicamos la red? O publicamos
>     blackhole si el proveedor lo tiene implementado.
>
>      
>
>     Es interesante ver que lorelativamente fácil que es hacer una
>     ataque de este tipo, o contratarlo mejor dicho por algunos
>     centavos de bitcoins, y el daño que puede causar en un pequeño ISP.
>
>      
>
>     Me gustaría saber si a ustedes les ha sucedido y como lo han mitigado.
>
>      
>
>     Saludos!
>
>     RedRegionalLogo
>
>     	
>
>     Luciano Martín Raffaldi
>     /Responsable de Operaciones y Mantenimiento/
>     lraffaldi en redregionalsa.com.ar
>     <mailto:lraffaldi en redregionalsa.com.ar>
>     tel: *+54 03401 422169 int 508*
>     cel: *+54 03401 15514415 *
>
>      
>
>      
>
>
>
>
>     _______________________________________________
>
>     Lista mailing list
>
>     Lista en arnog.com.ar <mailto:Lista en arnog.com.ar>
>
>     http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>  
>
>  
>
> <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
>
> 	
>
> Libre de virus. www.avast.com
> <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
>
>
>  
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20180201/be8a6a7b/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.png
Type: image/png
Size: 8686 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20180201/be8a6a7b/attachment-0001.png>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: Arnog 2017 - ScrubUNLP, Servicio propio de limpieza de tráfico en la nube.pdf
Type: application/pdf
Size: 1373466 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20180201/be8a6a7b/attachment-0001.pdf>

Más información sobre la lista de distribución Lista