• Inicio
• Acerca de nativos2020
• Contacto
• Descargas

En que consiste realmente un ataque DDoS

Escrito por Jose Carlos el 8 de Febrero de 2008

Como ya hemos comentado en este blog, y como seguro que ya sabréis, genbeta está sufriendo un ataque de denegación de servicio (posiblemente distribuido) que ha dejado al sitio caído durante al menos ya 2 días.

Mi primera reacción fue escribirle un mail de apoyo a Salva Castro, es difícil de imaginar la impotencia que se siente cuando un delincuente la toma con tu sitio, y te deja fuera de servicio, estas cosas no deberían suceder y no deberían quedar impunes jamás.

Tras todo esto, la blogosfera se ha llenado de apuntes de apoyo a genbeta, pero en muchos sitios ha surgido la duda de que es un DDoS (denegación de servicio distribuida) y si es evitable o no.

Una denegación de servicio distribuida, dejando a un lado las palabras técnicas, podría resumirse como el echo de saturar un sistema usando para ello, muchísimos clientes.

Imagina por ejemplo una carnicería en la cual tienen su clientes habituales, si tu pudieses enviar a 4000 personas a la carnicería, que pidiesen turno, que fuesen atendidos, pero que se fuesen sin comprar nada y volviesen a ponerse en la cola, seguramente la carnicería se saturaría, y no podría atender a los clientes legítimos, produciendo un daño considerable a su negocio.

En los servidores web pasa algo parecido, algunos delincuentes informáticos, controlan cientos o miles de máquinas infectadas por malware, que controlan a su antojo, y pueden ordenarles hacer visitas sin parar a una web determinada, de forma que el apache se satura, y no puede atender a los visitantes legítimos.

Además de estos ataques básicos, pueden usarse estas máquinas “zombie” para saturar cualquier servicio en la máquina, e incluso, pueden usarse para saturar la red entera en la que la máquina está hospedada, enviando información sin parar mediante el protocolo UDP (que no requiere conexión) hasta saturar el ancho de banda de la red objetivo.

Técnicamente hablando estos ataques se conocen como “syn flood” “http flood” “sockets exhaustion” y “udp flood” (aunque existen otros ataque mas raros, estos son lo mas comunes, algunos ni siquiera están documentados)

Depende de la técnica que utilice el delincuente informático y de como esté instalada la red en la que se encuentra el sistema objetivo, el atacante necesitará mas o menos recursos (número de máquinas zombie) por lo que estar preparados contra estos ataques, no nos asegura ser inmunes, pero nos asegura que el atacante va necesitar muchos mas recursos para dejar nuestro sitio fuera de servicio.

Algunas de las técnicas que se pueden utilizar para detener este tipo de ataques es utilizar apache basado en threads en lugar de apache basado en forks, de forma que cada petición no nos genera un nuevo proceso, sino un nuevo hilo, además, deberíamos de instalar reglas anti syn-flood en nuestro iptables, además de eliminar la limitación de 1024 sockets por proceso en Linux.

Aparte de estas medidas preventivas (y que están pensadas por los ataques mas típicos, no siempre son efectivas) existen medidas si ya estás bajo ataque, la primera es analizar los logs de los distintos servicios para ver si están realizando un ataque a un software concreto, como apache, o si están usando ataques en la capa tcp, como syn flood.

Si los ataques son peticiones intentando consumir memoria usando los scripts de la página, algo muy común, bastaría con detectar el refer que utilizan o ver si existen un useragent especifico en los zombies, y bloquearlos. Si el ataque es en la capa tcp, debería estudiarse el uso de reglas especificas para mitigar ese ataque en iptables o en el firewall coporativo.

Finalmente, puede que nos quede la pregunta de como reúnen los delincuentes estas máquinas zombie: lo hacen utilizando bugs muy conocidos y con parches disponibles que los solventan y convirtiendo a cada sistema que capturan en un nuevo scaner que continua buscando otros sistemas sin parar, por lo que cuantas mas máquinas controlan, mas máquinas infectan al día.

Los programas con los que realizan estas actividades, son públicos y de código libre, lo cual es mas preocupante aun, existen algunos muy extendidos, como rxbot y otros muy similares, existen infinidad de sitios con documentación acerca de como utilizar estos programas, que existen con total impunidad y sirven como escuelas para delincuentes informáticos.

Por último, hemos leído ya mucha gente que opina que no es posible realizar estos ataques a sitios tan grandes como weblogs sl, que esto es una invención, sin embargo, estos ataques existen, suceden día a día alrededor del mundo, y normalmente, con total impunidad.

Nos queda un largo camino hacia un internet mas seguro.

Publicado en: Internet, Seguridad
Tags: bots, DDOS, Genbeta, Seguridad
Reacciones de otros blogs sobre esta entrada