[grnog] Latest DDoS attacks

Fri Feb 19 11:57:52 CET 2016

Καλημέρα,

Εμείς προς το παρόν έχουμε το fastnetmon σε mirror mode για detection. Του έχουμε στήσει bgp sessions με τους RR μας και όταν δει κάτι πάνω από τα thresholds που του έχουμε ορίσει, διαφημίζει τον προορισμό σαν prefix με συγκεκριμένο community που έχει σαν αποτέλεσμα blackholing μέσα στο δίκτυο μας και στους upstream. Σίγουρα δεν είναι η ιδανική λύση και έχει αρκετά μειονεκτήματα, αλλά με λίγο προσοχή στις ρυθμίσεις θεωρώ ότι έχει αρκετά καλό value for money, για το μέγεθός μας τουλάχιστον.

Η χρήση flowspec μεταξύ ASNs μου φαντάζει σαν καλή λύση για το συγκεκριμένο πρόβλημα, εφόσον βέβαια τα μηχανήματα το υποστηρίζουν και μπορούν να σηκώσουν το μέγεθος των κανόνων που θα απαιτείται.

Μιας και πιάσαμε το συγκεκριμένο θέμα, θα ήθελα να κάνω κι εγώ ένα παράπλευρο ερώτημα. Στέλνετε abuse notices στα σχετικά contacts σε περιπτώσεις reflected επιθέσεων, και αν ναι, τι ποσοστό περίπου σας απαντάει ? Από τη δική μου σκοπιά, όσες φορές έχει τύχει να στείλουμε, το ποσοστό απαντήσεων που έχουμε λάβει είναι ιδιαίτερα απογοητευτικό.

My thoughts and words are my own.

Kind Regards,

Spyros
-----Original Message-----
From: grnog-request at lists.grnog.gr [mailto:grnog-request at lists.grnog.gr] On Behalf Of Karaliotas Tasos
Sent: Friday, February 19, 2016 12:11 PM
To: grnog at lists.grnog.gr
Subject: Re: [grnog] Latest DDoS attacks

Καλημέρα,

Επειδή και εδώ στο ΕΔΕΤ έχουμε ταλαιπωρηθεί αρκετά με τις επιθέσεις που λαμβάνουν χώρα τελευταία είμαστε σε κατάσταση που εξετάζουμε αν πρέπει να βάλουμε κάτι πιο μόνιμο που να προστατεύει το δίκτυο και τους φορείς μας από DoS επιθέσεις σαν αυτές που αναφέρει ο Μιχάλης. Η διαθεσιμότητα του flowspec στο δίκτυο μας το κάνει σημαντικά πιο εύκολο στην υλοποίηση του.  Σίγουρα θέλει λίγη παραπάνω δουλεία ώστε να βρούμε το ύψος των threshholds και αρκετή προσοχή ώστε να μην σπάσουμε τίποτα...(πχ πλησιάσουμε όρια συσκευών...)

Θα μας ενδιέφερε ιδιαίτερα αν κάποιος έχει εφαρμόσει κάτι ανάλογο και μπορεί να μεταφέρει κομμάτια της εμπειρίας του..

ΜΦΧ

Καραλιώτας Τάσος

On 02/19/2016 11:44 AM, Oikonomakos Michalis wrote:
> Καλημέρα σε όλους,
>
> Τις τελευταίες ημέρες δεχόμαστε αρκετά NTP amplification attack (>5Gbps/1.5Mpps). Από προσωπικές συζητήσεις με μέλη της λίστας, μαθαίνω οτι ορισμένοι έχουν ενεργοποιήσει rate limit για NTP/Chargen/SNMP/SSDP.
>
> Αντιμετωπίζει κάποιος άλλος το πρόβλημα αυτές τις μέρες; Έχει 
> προχωρήσει σε αντίστοιχες ενέργειες;
>
> Χαιρετισμούς,
>
> Μ.
>

--
---------------------------------------------------------------
Tasos Karaliotas - karaliot at noc.grnet.gr Greek Research&  Technology Network - http://www.grnet.gr 56, Mesogion Av., Ampelokipi, 11527 Athens, Greece
Office: +302107471097 Fax: +302107474490
---------------------------------------------------------------

-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4829 bytes
Desc: not available
URL: <http://nogalliance.org/pipermail/grnog-members/attachments/20160219/60bc5db5/attachment.bin>