Mucho se ha hablado sobre el ataque DoS de la pasada noche sobre el site de la SGAE y colateralmente el del ministerio de 'cultura'.
Todo el mundo se ha hecho eco del 'éxito' del susodicho ataque porque las webs de SGAE y el ministerio se vinieron abajo.
Pero ... ¿Realmente fue tan exitoso?
El hosting de www.sgae.es está gestionado por el proveedor de servicios ACENS y como era lógico no se iban a quedar de brazos cruzados ya que al atacar www.sgae.es, de forma colateral, seguro que iban a caer otros muchos sites que compartan hosting.
¿Que hizo ACENS? Algo tan ingenioso como 'des-enrutar' www.sgae.es para que ni un ápice del ataque tocase sus infraestructuras.
Aquí una captura de un 'traceroute' de ayer por la noche (desde una IP de Vodafone / Comunitel):
$ traceroute www.sgae.es
traceroute to www.sgae.es (217.116.5.84), 30 hops max, 60 byte packets
1 192.168.0.1 (192.168.0.1) 5.055 ms 5.276 ms 5.774 ms
2 * * *
3 10.4.216.139 (10.4.216.139) 21.163 ms 21.360 ms 22.365 ms
4 cdmer1-r1-e1-0-0.ipcom.comunitel.net (212.145.1.82) 24.434 ms * *
5 212.166.144.149 (212.166.144.149) 29.677 ms 34.469 ms 34.749 ms
6 212.166.144.46 (212.166.144.46) 35.042 ms 15.617 ms 15.953 ms
7 * * *
8 * * *
9 * * *
10 * * *
Como se pude observar, mas allá de mi ISP 'se pierde el rastro'. Veamos ahora un traceroute de hoy:
$ traceroute www.sgae.es
traceroute to www.sgae.es (217.116.5.89), 30 hops max, 60 byte packets
1 192.168.0.1 (192.168.0.1) 8.504 ms 9.905 ms 10.224 ms
2 * * *
3 10.4.216.139 (10.4.216.139) 26.562 ms 26.822 ms 27.128 ms
4 cdmer1-r1-e1-0-0.ipcom.comunitel.net (212.145.1.82) 30.883 ms * 31.136 ms
5 * * *
6 212.166.144.46 (212.166.144.46) 33.164 ms 20.841 ms 21.142 ms
7 acens-40.espanix.net (193.149.1.40) 22.124 ms 22.660 ms 22.965 ms
8 te1-1.rou-mad1.acens.net (217.116.14.245) 23.308 ms 24.020 ms 30.523 ms
9 217-116-31-50.redes.acens.net (217.116.31.50) 24.311 ms 18.225 ms 18.234 ms
10 * * *
11 * * *
¡¡ Sorpresa !! Hoy si que existe ruta hacia ACENs.
El tema de como defenderse de ataques DoS da para uno o varios posts así que prometo que algún día escribiré sobre el tema de forma mas concisa
60 comments :
Puedes quitar las rutas si quieres pero la cuestión es que accesible sigues sin estar. si el ataque hubiese continuado durante una semana, una semana que te pasas sin servicio. El problema de las denegación de servicio distribuidas es la imposibilidad de distinguir las peticiones auténticas de las que no lo son y este problema tiene difícil (por no decir imposible) solución al menos hasta donde yo se.
Enhorabuena por el Blog y Un Cordial saludo.
Anonymous insistio en atacar a la actual IP del dominio y no a este. Asi que por mucho que cambie el dominio, si la pagina esta en la misma IP el ataque sigue funcionando.
@MarioQuartz No se tocaron DNSs lo que se hizo es que la IP que resolvía www.sgae.es simplemente no fuera accesible, no tuviera ruta para llegar
Pero esta medida sigue afectando a las páginas que estén compartiendo alojamiento en ese servidor ¿no? Vamos, que también se quedarían sin servicio.
Aún así es una buena forma de no perjudicar al servidor.
El blackholing hace años que lo usan los operadores para ataques de DDoS... No es ninguna novedad...
De cualquiera manera sigue cumpliendo el objetivo de anonymous, que la pagina no este accesible. Respecto a la defensa... supongo que puedes ponerte a banear continentes como un loco hasta que pase (total, conociendonos, de españa poco ddos habría, anonymous tiene su "base" en eeuu), que no creo yo que a sgae.es accedan muchos americanos.
Otra manera, asi a bote pronto, no se me ocurre.
y si los pilotos hacen huelga un mes, un mes que no vuelas.
Me parece muy buena solución (también desconozco si hay otra)quitar las rutas hasta que pase el bochorno. De todas formas este tipo de ataques no merecen la atención de otros más ingeniosos que habitualmente nos mostráis por aquí.
Chaval, piensa un poquito... si el ataque se trataba de tirar la web de la SGAE, y ellos mismos la tiraron para evitar el ataque... eso no es un exito? por A o por B el resultado es el mismo
@Anónimo, Gracias por lo de 'chaval'. Objetivamente, el ataque estaba diseñado para saturar la web y tirarla abajo, el hecho de que de inicio la quitasen significa que es imposible saber si hubiese o no logrado su objetivo. Imagina un combate de boxeo donde un púgil gana a otro por incomparecencia. Sí, ha ganado, pero no creo que lo vea como un éxito. Aun así el objetivo del post es explicar los mecanismos de defensa implementados, buenos o malos, torpes o brillantes, eso ya, a tu criterio
Hola, me parece interesante, ya no por la complejidad de la técnica usada, sino por el procedimiento de los ISP para actuar ante estos ataques.
Quizás cuando estos ataques se realicen contra infraestructuras y/o empresas/organismos críticos mejoren y establezcan un procedimiento entre ISP/Carrier tanto del mismo País como de otros para no sólo modificar rutas, sino también modificación a nivel de DNS para no quedar si servicio (e intentar eludir el ataque).
En este tema supongo que se pueden apoyar en soluciones tipo Akamai y mirando el tema de los DNS, esta bien mirar un poco al mundo de las Botnets, cuyas técnicas entre otras usan Fast Flux DNS y single Flux.
Estaría bien un articulo sobre este tema del que Yago ha podido vivir en sus carnes estas amenazas.
Un saludo y gracias por estar siempre encima de la "jugada" en el mundo de la seguridad.
@Gonzalo, Muchas gracias ! un placer verte por aquí
No se trata de de conseguir un éxito a nivel técnico, sino a nivel práctico. Poco importa si se consigue porque la tiran ellos, porque la tumbo yo o porque se le reza a buda.
Pues yo si lo veo como un exito, porque se cumplio el objetivo... quieres alguna prueba de que hubiese funcionado si ellos no la hubiesen tirado antes? pues bien, por la mañana en uno de los tests, se pudo tirar la sgae y la mcu en pocos segundos, y luego se volvio a dejar online... simplemente probando... sigo viendolo como un exito, y opino que la tactica de promusicae es mucho mejor que la de SGAE (los de promusicae si son huesos duros)
Se defendió Acens, pero no la sgae, el titulo deberiais cambiarlo
Más que la SGAE, parece que fue ACENS quien se defendió, ¿no? Para la SGAE, el resultado fue el mismo que si no hubieran hecho nada (o sea, su web caída), pero ACENS evitó que una oleada de tráfico llegase a su red.
Desde la perspectiva de la SGAE, no hay nada que decir. Desde la de ACENS, hicieron lo sensato: minimizar el impacto.
Tengo que suscribir la postura general en los comentarios. Lo mires como lo mires y lo vendas como lo vendas, el objetivo de un DoS es que no prestes servicio.
Y hemos visto claramente como el servicio no se presta (sin atender a nullrouting, blackholing, akamaización, throttling...).
Hace un tiempo un gracioso nos doseo y no fue su ataque el que nos dejó en DoS, fue nuestro proveedor con su IPS que asumiendo que había un ataque puso nuestra IP en cuarentena, ¿cambia el hecho que la web estuvo doseada?
El enfoque responsable de este post sería: "Diseñemos una estrategia contra los DDoS que pueda llegar a funcionar", desde mi punto de vista.
El ataque fué un éxito ya que se consiguió el objetivo (dejar inaccesible la web de la SGAE) mucho antes de lo planeado, y sobró tiempo para lanzar otro ataque efectivo contra MCU y darle mucha caña a Promusicae.
Y sin duda, se ha hecho bastante ruido, algo que también pretende esta iniciativa.
Personalmente, creo que la SGAE ha guardado su lado más "chulesco" al que nos tiene acostumbrados, y ha tomado la estrategia de hacerse los buenos y los pobrecitos. Por una vez hemos hecho llorar al perro, y que se retire del ring con el rabo entre las piernas, aunque haya sido por un rato.
@Roman (y en general los que, creo, no me habéis entendido) Nadie duda que el objetivo (hacer un DoS) se ha cumplido con creces, incluso con la mera amenaza ha bastado, eso es indudable, pero mas allá de eso, supongo que el objetivo era reventar el ancho de banda de la SGAE, causar daños colaterales y hacerla 'mas grande' y eso, no ha sido así
@Yago dudo mucho que el objetivo fuera hacer ese tipo de daño.
Lo que querían y han logrado era llamar la atención de la sociedad sobre esta actividad y sentar un precedente básico: "atentos, porque los que de verdad tienen poder en Internet no están en vuestro lado".
Desde mi punto de vista, prueba superada por parte de /b/.
Ahora vendrán las consecuencias, que es lo que me tiene preocupado.
Estoy participando en esta protesta y lo digo con orgullo. Hace unos meses españa salio a la calle para celebrar la victoria de la seleccion, hace unas semanas se hizo una huelga que en comparación parece una fiesta de cumpleaños ... la gente no defiende sus derechos, hay poca gente conciente de los derechos que tenemos los internautas, asi que el objetivo del grupo Anonymous me parece perfecto, aunque tenga que recurrir a esta nueva forma de protesta como es el DDoS global, los tiempos cambian.
Que yo sepa el único objetivo ha sido denegar el servicio (y vaya si se ha denegado), no provocar un perjuicio económico a la SGAE a base de comerse ancho de banda.
Es por eso que se ha usado LOIC/hping para mandar peticiones de forma masiva, y no una herramienta tipo BWRaeper/wget para descargar sin parar los ficheros más grandes de la web.
Digo yo, ¿no? ^^
ÉXITO.
Denegación de servicio con todas las de la Ley, además con daños colaterales. Eso de desenrutar es una chapuzilla ante el problema. Hubiera sido mejor monitorizar el tráfico e ignorar los paquetes de las direcciones con más peticiones. Han desaprovechado una ocasión de analizar un ataque real. Salu2
Quizá digo tonterías, pero....
Si el origen de los ataques provenía de países fuera de España, no sería más efectivo encaminar hacía un falso router (una IP de router inexistente) el tráfico con destino a ese país ? (se interrumpe la comunicación entre cliente y servidor web).
Flipo. ¿que tiene de maravilloso quitar las rutas de una web para salvar el culo propio, dejando al cliente con el culo al aire? ¿así es como trata acens a sus clientes conocidos? Si es así, a saber como tratan al resto...
Por lo demás, la sgae ni tuvo tiempo de protegerse ya que la tiraron con mirarla. Lo hizo acens, así que el titulo del post es un camelo. Y si eso es defenderse...
Es como si para evitar que te den una paliza, te la das tu solo. Absurdo.
Y por cierto, si por incomparecencia de mi rival, soy campeón del mundo de boxeo, pueden decir misa. El titulo lo tendria yo. Pues esto igual. Acens, para salvar el culo hace el mayor y mas efectivo ataque de denegación de servicio.
DDoS wins (lo mires por donde lo mires).
Respondiendo al último anónimo, creo que ACENS hizo lo que menos perjuicios le podía causar. Un DDoS no sólo afecta a la IP final, sino que puede saturar la red intermedia y puntos comunes.
Es decir, ves que empieza un DDoS contra una web, ves que la web cae sin mucho esfuerzo y que lo mismo jode al resto de tus clientes, lo mejor, o al menos lo menos complicado, es desenrutar el acceso a dicha web. El DDoS contra la web está claro que consigue su objetivo (al fin y al cabo no importa que tires la web por miles de peticiones, por un bug o porque la desenruten), pero no te joden al resto de clientes, y no tienes al rato un montón de quejas, reclamaciones, y demás.
Se me ocurre una idea. ¿No se podría efectuar este tipo de ataque por salvapantallas instalados voluntariamente por millones de internautas para que permanentemente atacaran a las SGAE y sus secuaces?
Sería una especie de "DoS At home"
y el dominio mcu.es ese también fue por ese mismo motivo? No parece verdad?
Pues yo creo que sí pueden evitarse los ataques con DDOS, aunque esta no fué la mejor manera porque de inicio les dió alas a los pringaos que se pusieron a hacer DDOS.
Hay demasiada gente aburrida en el mundo, aunque seguro que la media de edad rondaba los 13 años.
¿... Y no será que el traceroute se queda a medias porque el canuto está saturado por el DoS y no por un cambio de rutas a nivel operador?
Por experiencia, pedirle a un Telefónica o un BT o un Vodafone por decir algo, que toquen algo en sus routers, lleva más tiempo que unas horas... aunque lo mismo con la amenaza tan cercana se han puesto las pilas.
Hubiera sido una buena prueba testear otras páginas albergadas en el mismo dominio y corroborar la "buena jugada" de ACENS.
SaluDoS
@David, te confirmo que www.acens.com respondía sin demora alguna, y a nivel ACENS que es un gran ISP, si tiene control directo sobre el routing como para des-enrutar una IP.
Ya pero... si ACENS toca las rutas de su dominio, imagino que tendrá en su AS un rango publicado por BGP, que a su vez se replica en los diferentes ISPs, tendría una implicación global y el cambio no es inmediato.
Por otra parte al llegar peticiones de todo el mundo le seguirían saturando el ancho de banda entre los ISPs con los que tenga conexión al estar la ruta en su rango y tirar a la ruta por defecto.
¿Quizá una sencilla ACL en los routers de entrada evitando tráfico a esa IP en concreto?. Es casi lo mismo que desenchufar el/los cables del servidor para mantener su integridad.
Ummmm... estoy pensando en alto...
Des-enrutar? Entonces donde coño se saca la SGAE para decir que tienen registrada todas las IPs atacantes si los pings de dichas IPs han quedado "en el aire".
http://www.elpais.com/articulo/tecnologia/Foros/EE/UU/Suecia/incitan/seguir/ataque/SGAE/Cultura/elpeputec/20101006elpeputec_5/Tes
Poner una ACL en los routers acabaría por comérselos... deny all? para eso directamente lo apagas :)
Lo suyo sería publicar la ruta por más de un camino y mismo "peso", colocando detrás IPS en las n entradas "limpiando" tráfico.
Lo malo es que, para eso, hay que trabajar.
La defensa no ha sido un éxito para la SGAE, solo un éxito parcial para ACENS que puede perder uncliente y no varios :)
Saludos
Eso sería una buena prueba de carga... ¿qué consume más procesador y memoria... una ACL con deny all a la x.x.x.x o unas rutas balanceadas de pásame tráfico a los IPS? Con la ACL paras el tráfico antes de entrar en tu red, con las rutas, lo dejas pasar algún salto hacia dentro.
Yo creo que ya no es solo las ganas de trabajar, sino la inversión en unos buenos IPS que imagino que algo tendrán. Desconozco la red de ACENS pero sería curioso analizarla y proponerle mejoras :o).
Lo mismo tienen unos Allot que gestionen anchos de banda y paren por ahí, o doble capa de firewalls que también podrían filtrar, o unos buenos IPS, o todo junto.
SaluDos
Desde el pu to de vista del cliente del que sufre el ataque (nosotros en Genbeta lo sufrimos hace dos años), que el proveedor de hosting corte el acceso a tu ip para que no se caiga todo el datacenter no es nngún alivio, es una traición. Entiendo por qué lo hace, pero no es combatir el ataque, es sacrificar una pieza y minimizar daños.
Yo usaba este simil para explicarlo. Estás en tu habitación del hotel en una fría noche de invierno en la que está nevando y con mucho viento. Alguien se pone a tirar piedras desde fuera y rompe las ventanas. El frío se cuela en tu habitación. Llamas a recepcion para que suban a ayudarte y al rato, lo que oyes es como alguien cierra la puerta de tu habitación para que no pase el frío al resto del hotel.
En mi opinión tener recursos, conocimientos y capacidad de reacción para actuar en estos casos es lo que distingue a un gran partner de hosting.
Estoy con Julio. A mi no me parece la mejor manera.
Con el dinero que ganan ya podían haberse buscado métodos para replicarse en otros sitio...
Titular sensacionalista: no fue la SGAE la que se defendio, sino Acens. Lo que pasa es que un titular con SGAE vende mucho.
Por otra parte, vaya solucion por parte del proveedor ...
Los primeros comentarios de MNM al respecto son bastante aclaratorios: http://www.meneame.net/story/como-defendio-sgae-anonymous
Sería una especie de "DoS At home"... vaya perla que estas hecho :-)
Hola! He llegado a tu post desde menéame y me parece muy interesante, sin embargo me faltan los conocimientos necesarios para entender bién el procedimiento que realizón ACENS... He entendido que "tiraron" ellos mismos la página de la SGAE para no tener repercusiones, pero ¿Los paquetes mandados directamente a la IP llegaban? O simplemente eliminaron el servicio DNS que conecta nombre de dominio con IP?
Espero con impaciencia tus posts sobre como defenderse de ataques DDoS :)
@rustyloo Lo que hicieron fue eliminar la ruta hasta la dirección IP de la SGAE, de forma que cuando tu ISP intentaba localizar 'como llegar' simplemente no encontraba como hacerlo. Nada de DNS (hubiera sido muy burdo, con haberle dado a la IP hubiese bastado). Sobre el tema de mitigar ataques DoS, prometido que seguiremos escribiendo, de momento hoy ha publicado Lorenzo uno http://www.securitybydefault.com/2010/10/como-mitigar-ataques-de-denegacion-de.html
Bueno yo quiero dar mi pekeñisima opinión técnica y hacer una reflexión:
Punto 1, sgae: Se sabe cual es la arquitectura (física/lógica) que tiene montada esta empresa para venderse en internet ??? router-s, firewall-s (capacidad de cpu=importante, memoria, anchodebanda=importante, ...).
Y ahora hago otra pregunta: La arquitectura de red que tiene montada sgae esta sobredimensionada de forma coherente para poder soporta un ataque DDoS de medio mundo ??? (yo opino que no, la gente no es consciente de estas situaciones hasta que le toca ..)
Y otra pregunta: Conoceis alguna empresa que tenga contratado servidores con ISP-s y que su arquitectura de red y Seguridad del cliente estén lo suficientemente sobredimensionados para recibir todo este volumen de tráfico ??? (yo creo ke no ...)
Punto 2, acens: Sobre este ISP opino varias cosas:
**Puesto que la mayoria de los usuarios no técnicos iban a utilizar la aplicación DDoS que se habia hecho publica ... entiendo que con un IPS bien configurado y su correspondiente actualización de firmas personalizadas con los patrones de los ataques hubiese ayudado a mitigar el ataque sin tirar la página ...
**Se ha hablado de salvaguardar la infraestructura del ISP, alguién sabe como tiene montado el chiriguito este ISP ?? hubiese aguantado su red ¿? (yo no lo sé).
**(última reflexión) En este post se habla de una posible modificación de rutas, etc, ... Alguién sabe cuales han sido las medidas de seguridad aplicadas por el ISP ?? ;)
Termine !!
Yo creo que la SGAE no ha salido muy mal parada con esto, lo único que han conseguido es que ACENS incumpla el SLA que pueda tener con la SGAE y deban pagarle una indemnización.
Si de verdad quieren atacar a la SGAE deberían haberlo hecho directamente contra ACENS, para que deje de hospedar a la SGAE, de otra forma, el unico perjudicado es ACENS.
Por otra parte, el ataque realmente no buscaba un DoS sobre sgae.es, de verdad pensáis que para la SGAE tener la web tirada dos horas supone algo? Su negocio esta en cobrar impuestos ilegales y chantajear a muchos negocios, asociaciones, etc.
Desde mi punto de vista, lo que han conseguido es que todo el mundo en España sepa quienes son Anonymous y 4chan.
Saludos
En los ultimos años he pasado por varios clientes, algunas entidades bancarias y operadores de telefonía movil. En ninguno de ellos están preparados para un ataque de DDos ni siquiera a pequeña escala. Bastaria no mas de una decena de usuarios con una conexion normal para tirar mas de una web. Algunos de ellos no cuentan ni con un secillo IPS.
Creo que la solución de ASCENS era a unica posible. Un ataque de este tipo y a gran escala acaba por tumbar cualquier dispositivo de red que trabaje con una tabla de estados, sea un firewall, un balanceador o lo que sea.
Mi opinion es q el ataque fue un exito, logro q se hablara en todo el mundo, y ademas logro q tener la web de SGAE alojada en tu servidor sea un riesgo. A mi no me molaria q mi web estubiera en el mismo servidor q la de SGAE, por el riesgo q conlleva.
Me hacen gracia los ilusos que hablan de IPS y firewalls para este tipo de ataques. Una vez el trafico a llegado a tu firewall es _demasiado tarde_. Este tipo de DoS es un ataque por volumen, y ese volumen de datos aunque lo pare tu firewall ya _ha llegado_ a tu red. Y para los que hablan de intentar geolocalizar la proteccion... Estamos hablando de internet!!, tu publicas una ruta (que se propagara) o no la publicas, no tienes mucho mas control que ese. Asi que la opcion elegida (aunque muchos lo vean como una traicion) es la mas acertada.
Después de leer los 45 comentarios... sobre todo los del principio... me da la impresión de que estoy leyendo mucha "física teórica" pero de "manzanas cayendo al suelo" poco, la verdad.
Pongamos el siguiente caso: Si alguno de mis esfínteres se dilata hasta los 19cm... algo con 25cm me va a hacer sangrar... me ponga como me ponga. Y no me sirve de mucho que alguien me diga que "si te pones esta pomada" "PUEDE" no haber desgarro.
En esos casos necesito un 100% de seguridad ya que de lo contrario, si intento defenderme y no lo consigo, amplificaré el resultado del sangrado (por la mezcla de fluidos y todo eso)
En mi humilde opinión, tal y como está diseñado todo el tinglado ese del ipv4... si mucha gente te quiere hacer pupita a la vez... te lo van a hacer... te guste o no.
Falta una 'a' en el título. Y si me apuras una tilde.
SiD: Pues habrás obviado mi comentario. Si te parece muy teórico pregúntale a NTT y a Twitter :-)
Anónimo, son 45 comentarios (muchos "apersonales") anteriores al mio... pero gracias por pensar que hablaba de ti :)
Supongo que el tipo de contrato que tiene la SGAE con ACENS no refleja que sea necesario que el servicio funcione en alta disponibilidad y estará contemplado que ante una amenaza como ésta, Acens puede decidir desenrutarles para evitar daños a Acens. Hasta aquí, bien por Acens que apagan SGAE y siguen trabajando.
Mi duda es si puede darse algún caso en el que Acens tenga que comerse el ataque y no pueda decidir desenrutar.
Por otro lado, si la web de acens residiese en la nube (en google, por ejemplo): ¿este tipo de ataques no se quedarían en un facturón enorme para SGAE por el consumo de ancho de banda en un momento puntual y un servicio funcionando sin problemas?
Un saludo.
¿Que paso con Anonymous? Hace much no escucho nada de ellos...
Supongo que el tipo de contrato que tiene la SGAE con ACENS no refleja que sea necesario que el servicio funcione en alta disponibilidad y estará contemplado que ante una amenaza como ésta, Acens puede decidir desenrutarles para evitar daños a Acens. Hasta aquí, bien por Acens que apagan SGAE y siguen trabajando.
Mi duda es si puede darse algún caso en el que Acens tenga que comerse el ataque y no pueda decidir desenrutar.
Por otro lado, si la web de acens residiese en la nube (en google, por ejemplo): ¿este tipo de ataques no se quedarían en un facturón enorme para SGAE por el consumo de ancho de banda en un momento puntual y un servicio funcionando sin problemas?
Un saludo.
Anónimo, son 45 comentarios (muchos "apersonales") anteriores al mio... pero gracias por pensar que hablaba de ti :)
SiD: Pues habrás obviado mi comentario. Si te parece muy teórico pregúntale a NTT y a Twitter :-)
Falta una 'a' en el título. Y si me apuras una tilde.
Pero esta medida sigue afectando a las páginas que estén compartiendo alojamiento en ese servidor ¿no? Vamos, que también se quedarían sin servicio.
Aún así es una buena forma de no perjudicar al servidor.
Anonymous insistio en atacar a la actual IP del dominio y no a este. Asi que por mucho que cambie el dominio, si la pagina esta en la misma IP el ataque sigue funcionando.
Puedes quitar las rutas si quieres pero la cuestión es que accesible sigues sin estar. si el ataque hubiese continuado durante una semana, una semana que te pasas sin servicio. El problema de las denegación de servicio distribuidas es la imposibilidad de distinguir las peticiones auténticas de las que no lo son y este problema tiene difícil (por no decir imposible) solución al menos hasta donde yo se.
Enhorabuena por el Blog y Un Cordial saludo.
Yago, uno de los motivos por los que anonymus cae bastante bien (a mí, por lo menos; espero que no se me asimile con un simpatizante de alkaeda) es que sólo golpea a los "malvados", y lo hace sólo en sus maldades (no contra colaterales inocentes) y de forma más propagandística que otra cosa (como el zapato que tiraron a Bush). Creo que Anonymus cumplió al 100% su objetivo.
El gran problema para mitigar una denegación de servicio es el no poder diferenciar entre peticiones validas y peticiones "invalidas", vamos, hasta hace poco bastaba con matar las conexiones embrionicas (en las que solo teníamos un SYN por parte del cliente y un ACK por parte del servidor, el servidor se quedaba esperando respuesta hasta que se llenaba su tabla de conexiones y no aceptaba más), una medida es en el header del ACK agregar una "cookie" la cual cierra la conexión en el server, si es válida, regresará y con la cookie poder generar la conexión, y si por el contrario se hace el ataque a nivel HTTP? en la cual si se completa el Three Way Handshake? como determinas, muchos hasta ahora limitan el número de sesiones TCP por IP origen, pero y si hay alguna institución válida con 30000 usuarios detrás de un FW con un NAT?? entretenido el problema ...
Publicar un comentario