[Lista ArNOG] Como mitigar ataque DDoS en un ISP.

Fernando Maidana fernando.gmaidana en gmail.com
Jue Feb 1 17:17:43 ART 2018 

Hola gente,

  Entiendo que hoy la solución mas renombrada es arbor , pero también en el
mundo hay desplegada soluciones mas accesible . Como la que indica nicolas
que esta hecha por Cymru :

http://www.cymru.com/jtk/misc/utrs.html

 aca les dejo un presentación de la mitigacion a través de CDNs :

http://slides.lacnic.net/wp-content/uploads/2017/09/cdn-ddos-wilson-lopes-v2.pdf



El 1 de febrero de 2018, 16:50, Carriers <carriers en dainus.net> escribió:

> Hola gente en  mi opiniòn   para  grandes  estructuras  y medianas porque
> no.  Arbor  creo que  es  la solución  màs completa. incluso  tienen hoy
> productos montados  en fierros  más  chicos que pueden  estar  a la altura
> de una  empresa mediana
> Incluso  hoy  en dìa  tienen  un producto que mitiga tu  ataques hasta
> 2tB . obvio  que no es barato; pero lo he visto  funcionar  en ovh  y  es
> increible.    como  asì tambìen   Atlas  que  trabaja con google  y  te
> actualiza  en tiempo real  una lista  de los  ataques y sus  ips .
>   Tasa  y teco lo usan  en Argentina  . no  se  de otros  centros  de
> datos  y salones de  fiestas  con racks   lo tengan.  desconozco.
> Aclaro  que  Arbor no me paga  para nada  ja
> Sebastian Bergagna
> Dainus
>
> En 1 de febrero de 2018, en 14:52, "Nicolás Macia" <
> nmacia en cert.unlp.edu.ar> escribió:
>>
>> El año pasado en el Arnog que se hizo en capital federal, desde la
>> Universidad Nacional de La Plata mostramos una plataforma de scrubbing
>> center desarrollada por nosotros, la cual puede ser utilizada para mitigar
>> este tipo de problemas.
>>
>> Mi idea era poder socializar los costos de infraestructura necesarios
>> (VMs en la nube con peering BGP) para llegar a montar una solución de este
>> tipo en  beneficio de todos.
>>
>> Calculo que por aquella época los problemas de este tipo no eran
>> significativos y la idea no prosperó, pero estaría bueno llegar a retomarla
>> en algún momento.
>>
>> Paso la presentación y el video de la demo que usamos en Lacnic de Foz:
>> https://archivos.linti.unlp.edu.ar/index.php/s/ibYIWkZPDAkLvpD
>>
>>
>> Saludos
>>
>> Nicolás
>>
>> El 06/12/17 a las 17:31, Luciano Raffaldi escribió:
>>
>> Hola Hernan, algunos si otros me ofrecen una solución de mitigación ddos
>> un tanto excedida de precio.
>>
>>
>>
>> Saludos!
>>
>>
>>
>> *De:* lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar
>> <lista-bounces en arnog.com.ar>] *En nombre de *Hernan Nicolau
>> *Enviado el:* miércoles, 6 de diciembre de 2017 15:45
>> *Para:* lista en arnog.com.ar
>> *Asunto:* Re: [Lista ArNOG] Como mitigar ataque DDoS en un ISP.
>>
>>
>>
>> Hola Luciano, tu mayorista te da posibilidad de mandar a blackhole?
>>
>>
>>
>> El 06/12/2017 a las 03:16 p.m., Luciano Raffaldi escribió:
>>
>> Estimados, hemos estado sufriendo algunos ataques DDoS desde los puertos
>> 23, 2323, 53, 17 y otros UDPs distribuidos desde miles de IPs hacia alguna
>> IP nuestra (algunas que incluso no estaban asignadas). Esto nos ha
>> provocado saturaciones en los proveedores al punto de hacer caer el peer de
>> algunos, y pudimos observar hasta casi 1Gbps entrante de este tráfico
>> basura.
>>
>>
>>
>> Como mitigarlo? Bloquear el tráfico en el RB hacia la IP atacada no sirve
>> de mucho (al menos que tengamos mucho AB de sobra para poder tirar al tacho
>> 1Gbps) ya que es todo tráfico no orientado a la conexión y por más que sea
>> descartado sigue llegando. A raíz de esto vemos dos formas posibles de
>> hacerlo:
>>
>>
>>
>> 1-      Despublicar la red
>>
>> 2-      Publicar con comunidad blackhole la IP atacada
>>
>> 3-      Servicios de mitigación de los Tránsitos (Carisimo)
>>
>>
>>
>> Ahora bien, surgen algunas cuestiones:
>>
>> 1-      Como detectar un ataque? Debemos dejar a uno o varios clientes
>> sin servicio
>>
>> 2-      Por cuanto tiempo despublicamos la red? O publicamos blackhole
>> si el proveedor lo tiene implementado.
>>
>>
>>
>> Es interesante ver que lo relativamente fácil que es hacer una ataque de
>> este tipo, o contratarlo mejor dicho por algunos centavos de bitcoins, y el
>> daño que puede causar en un pequeño ISP.
>>
>>
>>
>> Me gustaría saber si a ustedes les ha sucedido y como lo han mitigado.
>>
>>
>>
>> Saludos!
>>
>> [image: RedRegionalLogo]
>>
>> Luciano Martín Raffaldi
>> *Responsable de Operaciones y Mantenimiento*
>> lraffaldi en redregionalsa.com.ar
>> tel: *+54 03401 422169 int 508*
>> cel: *+54 03401 15514415 *
>>
>>
>>
>>
>>
>>
>>
>>
>> _______________________________________________
>>
>> Lista mailing list
>>
>> Lista en arnog.com.ar
>>
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>
>>
>>
>>
>>
>>
>> <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
>>
>> Libre de virus. www.avast.com
>> <https://www.avast.com/sig-email?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient>
>>
>>
>>
>>
>>
>> _______________________________________________
>> Lista mailing listLista en arnog.com.arhttp://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>
>>
>> ------------------------------
>>
>> Lista mailing list
>> Lista en arnog.com.ar
>> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>>
>>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20180201/3f08acae/attachment.html>

Más información sobre la lista de distribución Lista