ATTAQUE DDOS: Es una denegación de servicio distribuida, dejando a un lado las palabras técnicas, podría resumirse como el echo de saturar un sistema usando para ello, muchísimos clientes.
En los servidores web, algunos delincuentes informáticos, controlan cientos o miles de máquinas infectadas por malware, que controlan a su antojo, y pueden ordenarles hacer visitas sin parar a una web determinada, de forma que el apache se satura, y no puede atender a los visitantes legítimos.
Además de estos ataques básicos, pueden usarse estas máquinas “zombie”para saturar cualquier en la máquina, e incluso, pueden usarse para saturar la red entera en la que la máquina está hospedada, enviando información sin parar mediante el protocolo UDP (que no requiere conexión) hasta saturar el ancho de banda de la red objetivo.
Técnicamente hablando estos ataques se conocen como “syn flood” “http flood” “sockets exhaustion” y “udp flood” (aunque existen otros ataque mas raros, estos son lo mas comunes, algunos ni siquiera están documentados)
Algunas de las técnicas que se pueden utilizar para detener este tipo de ataques es utilizar apache basado en threads en lugar de apache basado en forks, de forma que cada petición no nos genera un nuevo proceso, sino un nuevo hilo, además, deberíamos de instalar reglas anti syn-flood en nuestro iptables, además de eliminar la limitación de 1024 sockets por proceso en Linux.
Aparte de estas medidas preventivas (y que están pensadas por los ataques mas típicos, no siempre son efectivas) existen medidas si ya estás bajo ataque, la primera es analizar los logs de los distintos servicios para ver si están realizando un ataque a un software concreto, como apache, o si están usando ataques en la capa tcp, como syn flood.
Si los ataques son peticiones intentando consumir memoria usando los scripts de la página, algo muy común, bastaría con detectar el refer que utilizan o ver si existen un useragent especifico en los zombies, y bloquearlos. Si el ataque es en la capa tcp, debería estudiarse el uso de reglas especificas para mitigar ese ataque en iptables o en el firewall coporativo.
Finalmente, puede que nos quede la pregunta de como reúnen los delincuentes estas máquinas zombie: lo hacen utilizando bugs muy conocidos y con parches disponibles que los solventan y convirtiendo a cada sistema que capturan en un nuevo scaner que continua buscando otros sistemas sin parar, por lo que cuantas mas máquinas controlan, más máquinas infectan al día.
Los programas con los que realizan estas actividades, son públicos y de código libre, lo cual es mas preocupante aun, existen algunos muy extendidos, como rxbot y otros muy similares, existen infinidad de sitios con documentación acerca de como utilizar estos programas, que existen con total impunidad y sirven como escuelas para delincuentes informáticos.
Increíble y cierto. El blog Genbeta, perteneciente al grupo weblogssl.com, recibió hace unos días una amenaza «consistente en la realización de un ataque conjunto y coordinado entre varios equipos» llamado DDoS. La empresa que ha hecho dicha amenaza ha cumplido su palabra.
¿El motivo? Pues haber publicado un artículo, el pasado mes de noviembre, acerca del fraude que suponen ciertos programas y páginas webs que ofrecen un servicio consistente en mostrar «quien te tiene como no admitido o te ha elminado del messenger a cambio de que les des tu datos de conexión, es decir, tu usuario y contraseña».
La historia se ha corrido por la Red, en plan meme, con el fin de se publique dicho contenido en el mayor número de blogs posible. De hecho, incluso ya tiene entrada en menéame.
Parece mentira que después de tanto tiempo (¡años ya!) del invento de este fraude todavía haya gente que siga cayendo en él. Es muy simple, y seguro que muchos lo conocéis, simplemente se trata de páginas que ofrecen el servicio de mostrarte quién te tiene como no admitido o te ha eliminado del mésenyer a cambio de que les des tu datos de conexión, es decir, tu usuario y contraseña. Creía que este negocio ya estaba más que muerto, pero hoy mismo un par de contactos míos me han saltado con la típica ventanita que me acceda a una de esas páginas para que me lea el futuro.
Como norma general, dar la contraseña de tu correo a alguien que no pertenezca a tu familia ya es un suicidio tecnológico, y en este caso sería como darle la contraseña de tu tarjeta de crédito a una persona desconocida para que te muestre el dinero que tienes. ¿Quieres saber qué es lo que hacen? La mayoría de páginas, después de mostrarte esa información, se conectan a tu cuenta varias veces al día para molestar a todos tus contactos con spam descarado. Lo que es peor, esto puede colapsar tu cuenta y no sería raro que la perdieras para siempre, o al menos que la conexión sea pésima. Así que ya sabes, no des tu contraseña a ningún sitio web, o atente a las consecuencias.
Pero claro, ¡tú quieres saber quién te tiene como no admitido! Sorpresa: esos sitios, además de ser peligrosos, no funcionan. Microsoft cambió hace tiempo el protocolo para que los servidores de msn no difundieran esta información. Antes sí podías, pero ahora mismo ni siquiera puedes saber el estado de otra persona sin que ella te invite/admite o sin saber la contraseña de la cuenta (sin cambiar la configuración de la cuenta). Sin rebuscar demasiado, algunos sitios fraudulentos que siguen esta práctica serían: blockoo.com, scanmessenger.com, detectando.com, quienteadmite.info, checkmessenger.net, blockstatus, etc… Todos ellos son potenciales phishing, y ninguno funciona más allá de recolectar cuentas de correo.
Disculpad los lectores avanzados que ya habéis dejado atrás este tipo de engaños facilones hace mucho tiempo, pero es que hoy me he vuelto a conectar al messenger por obligación y me he dado cuenta de que las cosas han cambiado muy poquito.
Y este es el correo amenazante recibido por Genbeta:
Les comento que si no sacan esta nota [url de la entrada en cuestión] su pagina sufrira una denegacion masiva enorme, desde un datacenter de china, la cual no la podran detener, y es tan fuerte, que podra afectar toda la red donde alojan, es decir, a otros servidores dedicados.
(…) El motivo es simple, la gente como ustedes me da por las bolas, se la pasan hablando sin fundamentos, o acaso auditaron algun servidor y tienen constancia alguna de que esas web hagan «pishing» entonces para que hablan?
(…) ASI QUE HASTA QUE NO LA SAQUEN, GENBETA.COM NO FUNCIONARA.
CIUDAD DEL ESTE Y EL GRUPO CHINA SE ENCARAGA DE ESTO
Increíble y cierto. El blog