[ITNOG] DDos Mitigation all'Internet Exchange?

Matteo Berlonghi matteob@seflow.net
Lun 13 Gen 2014 10:12:36 CET


Il 13/01/2014 08:58, Gianluigi Salerno ha scritto:
> Gli ultimi attacchi ricevuti hanno sfruttato la porta 53 quindi 
> provenivano da tutti i peer in quantita' proporzionale ai dns presenti 
> sulla loro rete, manciate di mega per i piu' piccoli e decine di giga 
> per quelli piu' grossi.
>
> Ciao 

E limiteresti il 10% dei ddos nonchè la moda del momento. A questo punto 
dovresti limitare almeno gli ntp amplification e gli udp fragment... e 
poi i syn? e la prossima vulnerabilità? E tutti gli altri AMP che non 
sono al momento così famosi? Questi sono solo i più famosi, ma ce ne 
sono molti altri di amp in giro ormai da mesi/anni e su porte che non si 
possono limitare in alcun modo

Il 13/01/2014 08:44, Gioanola, Marco ha scritto:
> Uno dei miei clienti (un ISP "regionale" italiano) ha accordi coi propri
> upstream (che sono in numero ridotto) per esportare verso di loro annunci
> /32 taggati con una community concordata per il blackhole.
> Tralasciando i "dettagli" politici e/o commerciali  francamente mi
> sembra una soluzione di facile implementazione e basso costo operativo:
> banalizzando, serve una telefonata per mettersi d'accordo e tre righe di
> configurazione sui router.

Quella è una funzione che danno tutti gli uplink ma non è un vero 
filtro, semplicemente significa far raggiungere all' attaccante il suo 
scopo. Noi stessi andiamo in blackholing automatico per attacchi sopra i 
30 GE, ma non può essere una soluzione per qualsiasi attacco. A quel 
punto se questa deve essere l' implementazione meglio fare uno script 
che chiude la sessione col peering durante l' attacco e si gestisce il 
tutto dagli upstream. Che poi la % di traffico malevolo passante per gli 
IX è decisamente inferiore rispetto agli upstream. Per espeienza, la 
maggior parte delle reti ha un rapporto di 2:10 non vedo quale sia il 
problema di saper filtrare autonomamente almeno il traffico proveniente 
dagli IX. Santoddio siamo nel 2014, praticamente il primo 14enne con un 
portatile in 30 minuti sa comprarsi un server da ecatel che ammette 
spoof, fare uno scanning e generarti >10g di attacco

-- 
Matteo Berlonghi
Chief Technical Officer
mail: matteob@seflow.net
tel: +39.0256566235 ext. 801



Maggiori informazioni sulla lista itnog