Publicado por Juan Pablo el 12.Dic.2005 | Comentarios (16)
Para quienes visitan este sitio web, les informo que estuvo off-line (fuera de línea) por aproximadamente 45 minutos hoy por la tarde a eso de las 19.20 aproximadamente (hora chilena). La razón de bache fue un masivo ataque distribuido de denegación de servicio contra mi hosting, Dreamhost. Pero ¿qué es un ataque distribuido de denegación de servicio (DDoS)?. Intentaré explicarlo de manera muy simple.
Imagínate que estás en un Bar junto a un amigo, bebiendo unas cervezas. Aparte de ti y tu amigo hay dos personas más: un empleado público con su amante. La persona que atiende el Bar es un tipo fortachón llamado Hugo. De pronto tú y tu amigo quieren más cerveza, y llaman a Hugo. Hugo les sirve otra corrida, al mismo tiempo el empleado fiscal y su amante también piden otra corrida de heladas cervezas. Todo sigue tranquilo, cada 15 minutos aproximadamente llega una personas más al Bar y Hugo le sirve una cerveza. ¡De pronto!, aumenta la frecuencia de clientes al Bar, ya no son los 4 iniciales, ahora son 15. Hugo comienza a transpirarar por tanta solicitud. A poco andar, la cantidad se duplica y en el Bar sólo se escucha: "Hugo...otra corrida", “Hugo...por acá por favor", "Más Hugo", "Hugo", "Hugo por favor","che flaco” (ese era argentino). Hugo comienza a sentirse apremiado de tanta solicitud de cerveza pero atiende sin mayores problemas. El Bar tiene a esas alturas 55 personas. ¡De pronto!... llega todo un equipo de fútbol amateur a celebrar la obtención del campeonato y la misma canción: "Hugo", "hey hugo, por acá", "hugo", "hey amigo", "hugooooo", "huguitoooo". Ahora sí, Hugo comienza a dar signos de colapso. De pronto llega otro equipo más (el que perdió el campeonato) y luego los árbitros y luego todo el público que había en el estadio. Resultado: Hugo colapsado, ahora yace desmayado en una esquina del Bar, ya no puede atender a tanta gente. En eso, tu pides una cerveza pero el pobre Hugo no responde, a ti se te ha denegado el servicio a la cerveza.
Hugo→ El Servidor, las 55 personas del bar → los usuarios. Los arbitros, los equipos de fúlbol y el público → falsos usuarios. Hubo alguien, mal intencionado por cierto, que envío a toda esa gente (falsos usuarios) al Bar de Hugo, sabiendo que no sería capaz, éste despreciable personaje es el atacante del Bar de Hugo, es decir, un Hacker o varios de ellos. Este tipo de Hacker tiene bastante mala fama entre sus pares, ya que es la forma más simple de echar abajo un servidor. Ahora bien, los ataques de denegación pueden ser enviados desde un PC o por varios, pero también existe la posibilidad de que potentes servidores actúen de la misma forma, a esto se le llama un ataques distribuidos. Estos servidores se les llama zombies, ya que actúan a la orden del Hacker, el cual con antelación intervino aquella máquina sin que el administrador se diera cuenta por supuesto. Hoy, varios servidores atacaron a Dreamhost colapsando muchos de sus servicios (en tres ráfagas de ataque). ¡Pero ya estamos de vuelta!.
Tarea para la casa: traten de imaginarse cuantos ataques DDoS sufre www.microsoft.com; muchísimos, se los aseguro.
Enlace Permanente, Comentarios (16), Publicada en: Internet | Seguridad
Hola, me parece que el que hace ese tipo de cosas es un Cracker, y para tumbarse a DreamHost deben haber sido varios.
ehhh, buen sí, tienes razón. Pero para el común de la gente entiende más con el termino Hacker que Cracker. Para ser riguroso debí usar Cracker. Gracias RoQ.
Excelente artículo, don Juque... Quedó más que claro.
"Jefe! Una cervecita!"
¿Oye pero esos ataques no pueden ser prevenidos?, porque sino todos los servidores estarían caidos. Me imagino que fue falla de los que manejan seguridad en Dream .... :|
Rodrigo: Lamentablemente No. Haciendo la analogía con Hugo, ¿Puede él identificar quién es cliente verdadero o quién un cliente falso?, sucede lo mismo en la vida real. Si eres atacado desde un IP específico, se le niega el acceso al server, pero si son muchos...la cosa se pone color de hormiga, por supuesto que un robusto Firewall ayuda mucho a prevenir ataques pero ante una aplanadora es bien poco lo que puede hacer una hormiga.
Ahora bien, estamos hablando de un ataque, es decir, GRAN volumen de requerimientos, MILLONES de ellos (puntualmente Dreamhost tuvo un peak de 1.4 Gbites por segundo).
Por eso dije que este tipo de ataques no es muy bien visto por los demás Hackers o Crackers, porque es el más sencillo de hacer. Hay muchas alternativas (softwares) para hacer DoS dando vueltas por ahí.
juque : es perfectamente posible limitar los efectos de los ataques de denegacion de servicio, eso si, es un tópico bastante tricky...
la primera cosa que tienes que hacer en ese caso es llamara a tu ISP, es el unico que lo puede parar realmente...ahora si tienes un pedazo de BW como el de dreamhost, puedes en algunos casos mandar el D.D.o.S de vuelta ¡¡¡ LOL y hacer que los zombies tomen de su propia medicina. ;-)
Mi estimado Juque--- Tal y como lo mencionan el término correcto a usar es "Cracker" y no "Hacker". Es cierto que para el común de la gente es más fácil decr "Hacker" pero sabemos que ese es un término mal usado.
Y por cierto... creo que la pregunta correcta seria.. ¿Se imaginan cuantas horas al día www.microsoft.com NO es atacado con DDos?
un DoS atack se puede parar con un medidor de trafico de red, en el cual frente a muchas peticiones del mismo usuario :
iptables -A INPUT -p tcp -s IP/32 -j REJECT
Saludos :)
Con el solo hecho de poner ese reject en tu regla iptables ya estas frito.
REJEC envia un mensaje de vuelta indicando que la conexion fue rechazada, ahora imagina mandando esos mensajes a miles de conexiones, te haces un DDOS tu mismo, lo mas idoneo es poner DROP a todo... si si si, ya se que es mala educacion poner DROP porque no avisa, y a mi que!!! ahora la internet no es la red de cooperacion que era en sus inicios.
:-)
carlos : acertado comentario, con un DROP puedes "mitigar el efecto" en tus sistemas, pero no asi tanto en tu ancho de banda, el unico que puede tomar medidas al respecto definitivas es tu ISP , mandando a el "null device" el trafico de la red que esta mandando los paquetes maliciosos hasta que el ataque disminuya o ceda...
ahora en situaciones normales es de mal gusto el DROP.. asi que como dice framirez REJECT no mas.. ;-)
Hola, una consulta y mas o menos cuantas peticiones tendria que hacer para que me tomen como un DDoS, porque digamos que yo tengo una web y entro a ella varias veces al dia, entonces ¿tomarian mi IP como eso?
Roq: estamos hablando de miles o millones de peticiones , habitualmente desde una serie de "zombies" controlados por un "master zombie" en la mayor parte de los casos, son otros servidores, con buen ancho de banda que ya han sido comprometidos con anterioridad, que recibida la orden del "·master" comienzan a enviar toneladas de trafico a la "red victima".
Lo decia un poco por la extension Fasterfox que segun tengo entendido modifica el FF para que haga mas peticiones al servidor, pero ya que se trata de millones entonces no creo que eso me genere el problema que tengo con una web que mas o menos una vez por semana no puedo ver, y el problema al parecer no es el hosting puesto que otras personas pueden verla, tambien pruebo usar servicios como host-tracker para monitorearla y no me arroja problemas, pense que tenia algo que ver el proxy de mi trabajo pero tampoco es eso, lo que me han dicho la gente de soporte es que es mi ISP pero la verdad no creo, en todo caso me estancaria ahi puesto que la conexion es de mi trabajo y no podria contactar al ISP por un problema personal. Asi que pense que el hosting me bloquea la IP de la manera que indicaste por que el Fasterfox hace demasiadas peticiones. O_o .... creo que fue demasiada explicacion.
. Asi que pense que el hosting me bloquea la IP de la manera que indicaste por que el Fasterfox hace demasiadas peticiones. O_o .... creo que fue demasiada explicacion.
eso si ocurre, el fasterfox usa un mecanismo forzado de "Link prefetching"[1] en lugar de obedecer solo a los vinculos que autorizan prefetching, lo hace indiscriminadamente( o sea a todos los links de la pagina ¡¡)
para desabilitar esa prestacion tienes que ir a la configuracion de fasterfox-->fasterfox-> y desabilitar la opcion "activar descarga adelantada"
[1] http://www.mozilla.org/projects/netlib/Link_Prefetching_FAQ.html
En la actualidad ya hay varias herramientas que pueden por lo menos bloquear el ataque que te llega a tu maquina o a tu red. Uno de ellos es ViruSScan Enterprise 8.01 de McAfee, ya trae unas reglas de deteccion y bloqueo a nivel de tu host, es muy bueno. Busquen una herramienta para hacer ataques DDoS, instala el VirusScan, hagan el ataque a esta maquina y veran los resultados. Saludos... http://www.mcafee.com/es/products/mcafee/antivirus/desktop/vs.htm
Juan Pablo Aqueveque, Algunos derechos reservados, 1998-2024.
A menos que se exprese lo contrario los contenido de este sitio están
publicado bajo una licencia Creative Commons.
Este sitio está alojado en Dreamhost.
