26 mayo 2009

DoS a WorldWide DNS

Al igual que el año pasado, el proveedor WorldWide DNS ha vuelto a ser víctima de ataques de denegación de servicio distribuido o DDoS desde las 1:00 a las 4:30 AM CST.

De momento, sólo lo indican en su página web, pero todos aquellos clientes de este proveedor (DNS fijos y dinámicos) se han encontrado esta mañana sin servicio. Las recomendaciones que el propio proveedor sugiere a sus clientes son aumentar el TTL (Time To Live) para las zonas DNS a 12 horas (43200 segundos) o más si no necesitan tener un valor de TTL muy bajo. La mayoría de los ISPs recomiendan un TTL de 24 horas (86400 segundos) o más.

Según WorldWide DNS, el ataque vino sin aviso ni provocación por su parte. Actualmente el servicio está restablecido, aunque no saben durante cuánto tiempo puesto que no conocen aún el origen del mismo.

En general, un ataque de denegación de servicio distribuido (DDoS) es uno de los más difíciles de defender debido al inmenso volumen de tráfico que viene desde diferentes orígenes (con muchas probabilidades de IPs spoofeadas). Hay que distinguir que, por un lado puede darse un ataque de denegación de servicio porque el caudal de ancho de banda entrante a una organización es colapsado, y por otra parte aquellos ataques basados en el comportamiento de una aplicación de procesamiento pesado (aquellas aplicaciones que una sola petición ya exige muchos recursos de una máquina).

En el primer caso, las soluciones son muy pocas. Por lo visto aquellos sitios que se han visto amenzados y/o atacados de esta manera, han podido mitigar el impacto mediante la utilización de servicios como Akamai (una red de cachés y aceleración de tráfico mediante la distribución de procesos). En el segundo caso, aplicaciones pesadas (pero el consumo de ancho de banda no se ve colapsado), hay otro tipo de soluciones, como incrementar el número de servidores que van a dar el servicio, utilización de dispositivos gestores de ancho de banda que permitan devolver a un cliente una respuesta de "ocupado" cuando los servidores aún no estén colapsados, permitiendo dar servicio con los recursos disponibles al menos a un número limitado de usuarios manteniendo la calidad del mismo.

5 comments :

eduardo dijo...

Hola,

Estaba buscando info y no encuentro ningún tipo de detalle del ataque ... ¿se sabe algo de cómo lo han hecho? Siento curiosidad ...

Saludos,
Eduardo.

Anónimo dijo...

¿Y no existe alguna forma de intuir un posible ataque por la actividad del tráfico actual? Desconozco si son eventos repentinos, si empiezan de forma pausada, si duran mucho o poco, pero supongo que algún tipo de patrón seguirán ¿no?

Lo digo porque igual que se pueden descubrir patrones de que una tarjeta de crédito ha sido robada mediante redes neuronales, a lo mejor se podría aplicar una solución parecida.

Anónimo dijo...

No sé si se podrá descubrir que una tarjeta de crédito "ha sido robada" mediante una red neuronal ( si mal no recuerdo era la autorización/denegación de transacciones lo que se podía implementar mediante redes neuronales ).

Pero lo que tengo claro, es que igual que para ver si han robado la tarjeta lo más sencillo es mirar el extracto bancario, en este caso, lo más rápido es ver el tráfico que llega.

Lorenzo Martínez dijo...

@Eduardo -> en el momento de escribir el post la fuente que tenía era un cliente de Worldwide DNS, que se había quedado sin poder dar servicio esa mañana, y recibió un correo en el que se disculpaban y explicaban la situación. Respecto a los detalles del mismo, decía el correo que no tenían excesiva información que dar puesto que les había pillado de sorpresa. Aun así, preferían tener claro primero el ataque antes de dar detalles del mismo.

@anonimos -> en su día, Yago diseñó para un operador, un sistema de correlación en base a diferentes eventos y situaciones que permitían detectar que un ataque Ddos venía en camino.

eduardo dijo...

Gracias Lorenzo, habrá que esperar a que salgan los detalles ...

Desgraciadamente, los protocolos por udp son muy fáciles de atacar. Hace tiempos, en nuestros IDS, nosotros vimos peticiones desde IP spoofeadas que en realidad eran una denegación de servicio sobre webs porno y cosas así ... y era un ataque ridículamente fácil (pedían .NS, la lista de servidores root). UDP es un tanto débil, demasiado facil de falsificar el orígen.

Un saludo,